防火墙

0x00 前言上个月，我司长亭开源了雷池WAF，不到三天就吸引了超过上千个徒弟应用，几个交换群里，徒弟们探讨的热气腾腾，其中两个话题引起了咱们牧云 • 主机治理助手 ( Collie ) 团队的关注： 没有新主机装置雷池装置配置麻烦，心愿有一键装置的脚本别着急， Collie 会出手： 一方面，Collie 正在做送云主机流动；另一方面，面向研发&运维徒弟们设计的利用市场正式上线，不仅反对一键装置雷池等常用软件，同时反对一键装置 Docker、Docker-compose，不须要去寻找各种 Docker-compose.yaml，也不须要简单的配置。 0x01 打开方式登录百川云平台（[https://rivers.chaitin.cn] ，拜访 牧云 • 主机治理助手 > 治理 > 利用市场) 能够看到咱们顺便为徒弟们筹备的平安工具（雷池 WAF / Vemind 容器平安），罕用的开发工具(MySQL / Redis / Nginx），CMS（Wordpress），聚合页（Homepage），影音（Plex）等10款利用。 小Tips: 没有新主机的徒弟，先返回界面右上角的【流动】，做相干工作支付一台主机。 已有主机的徒弟，点击利用前面的【装置】，间接一键装置。详情步骤见视频： https://www.bilibili.com/video/BV1sh4y1t7Pk/?share_source=cop... 0x02 研发思路以解决咱们日常装置软件时常常遇到的配置麻烦、卸载麻烦、主机环境污染等问题为指标，在架构设计上，Collie 研发徒弟们做了以下计划： 利用必须是基于docker实现的，不能净化宿主机的环境利用的外围代码和对应的docker-compose.yaml是开源的，承受社区的审计，防止出现不平安的利用利用反对一键装置，一键卸载，一键降级，尽量简化简单的配置 0x03 总结Collie 提供一键装置的高兴，同时秉承长亭凋谢共享的思维， 目前利用市场的代码已开源到Github，欢送徒弟们 PR、Star，以及上架本人喜爱的利用～ 利用市场仓库：https://github.com/chaitin/collie； 开发利用的cli工具仓库：https://github.com/chaitin/collie-app-cli 应用或开发利用的过程中，有任何问题请加群沟通：

平安组是一种虚构防火墙，通过平安组规定管制 ECS 实例出/入方向的流量，保障云服务器的平安。 本文将通过介绍平安组的工作原理、性能、默认平安组和规定，以及疾速上手应用平安组的操作等方面的介绍，您对于平安组有一个全面的理解，帮忙您更好、更平安地开展业务上云。

尊敬的天翼云用户您好：近日，Apache Spark呈现shell命令注入破绽，该破绽危害较大且 POC 已公开。截至发文以后，天翼云Web利用防火墙（边缘云版）已监测并拦挡到大量相干攻打，请相干用户尽快采取措施进行排查与防护。 破绽形容 Apache Spark是美国阿帕奇（Apache）软件基金会的一款反对非循环数据流和内存计算的大规模数据处理引擎, 如果Apache Spark UI启用了 ACL，则HttpSecurityFilter 中的代码门路容许通过提供任意用户名来模仿执行。歹意用户可能可能拜访权限查看性能，该性能最终将依据他们的输出构建一个 Unix shell 命令并执行它。这将导致任意 shell 命令执行。  破绽详情破绽名称：Apache Spark shell命令注入破绽破绽编号：CVE-2022-33891破绽类型：命令注入组件名称：Apache Spark影响版本：Spark Core – Apache<=3.0.3>=3.1.1&&<=3.1.2>=3.2.0&&<=3.2.1破绽等级：高危 自检倡议获取 spark 版本，判断其版本是否在 (∞, 3.0.3]、3.2.0, 3.2.2)范畴中。破绽修复或缓解倡议厂商已公布补丁修复破绽，用户请尽快更新至平安版本：Apache Spark 3.1.3、 3.2.2或3.3.0或更高版本。 天翼云Web利用防火墙（边缘云版）已反对检测拦挡该破绽天翼云平安钻研团队在2022年7月18日即开启对该破绽的关注与钻研工作，提前对该破绽进行预警进攻，已于2022年7月18日反对该破绽防护，并于2022年7月20日捕捉该Apache Spark shell命令注入破绽的攻击行为，在攻击行为大规模暴发之前就帮忙用户提前进行检测与进攻。 Web利用防火墙（边缘云版）1.订购Web利用防火墙（边缘云版）后，在自助客户控制台接入防护域名，接入防护域名默认反对防护，不须要手动更新规定库和配置。2.订购Web利用防火墙（边缘云版）服务。第一步，关上天翼云官网http://www.ctyun.cn，注册并登录；第二步，未实名认证的用户需按提醒实现实名认证能力开明Web利用防火墙（边缘云版）服务；第三步，BCP门户曾经反对订购，订购后自助开明性能；点击业务受理单-创立受理单（试用/商用）-增加资源-平安产品-Web利用防火墙（边缘云版）-提交资源。 3、开明胜利后，登录客户控制台：https://cdn.ctyun.cn/h5/ctwaf，接入防护域名，防护开关确认为开启。第一步，进入Web利用防火墙（边缘云版）客户控制台，抉择【域名治理】，点击【增加域名】；第二步，填写域名接入信息，依据页面的疏导填写域名的源站信息、申请协定、服务端口、回源协定和回源端口等信息；增加域名配置页 第三步，依据您的需要，填写完域名的源站信息、申请协定、服务端口、回源协定和回源端口等信息，点击【下一步】填写域名平安配置页面； 域名平安配置信息页第四步，抉择域名的防护模式和防护模版后，点击【提交】；提交胜利后，能够点击【返回域名列表】页面；第五步，实现新增域名操作，配置实现后，域名治理页面提供cname地址；第六步，要启用Web利用防火墙服务，须要您将防护域名的DNS解析指向咱们提供的CNAME，这样拜访防护域名的申请能力转发到平安节点上，达到防护成果。 

1. 需要剖析首先，VLAN接口是三层接口。VLAN接口是VLAN内所有设施对外通信的进口，通常状况下，VLAN接口的IP地址为VLAN内网络设备的网关地址。当内网交换机配置有VLAN类型接口，防火墙作为网关，VLAN流量通过防火墙，防火墙会对VLAN流量进行解决，处理过程包含解标签、打标签及转发。Hillstone防火墙反对配置VLAN类型接口，局部防火墙若不反对VLAN接口，可应用子接口方式代替VLAN接口，以达到同样成果。 2. 解决方案2.1 组网拓扑 2.2 配置2.2.1 形式一：配置VLAN接口【交换机配置】配置交换机 vlan 列表和划分 vlan switch(config)# vlan 10switch(config-vlan)# exitswitch(config)# vlan 20switch(config-vlan)# exitswitch(config)# vlan 30switch(config-vlan)# exitswitch(config)# interface ethernet0/0switch(config-if-eth0/0)# switchmode access vlan 10switch(config-if-eth0/0)# interface ethernet0/1switch(config-if-eth0/1)# switchmode access vlan 20switch(config-if-eth0/1)# interface ethernet0/4switch(config-if-eth0/4)# switchmode trunk vlan 10,20,30switch(config-if-eth0/4)# exit【防火墙配置】 Configuration:vlan 10exitvlan 20exitvlan 30exitinterface vlan10zone "trust"ip address 192.168.10.1 255.255.255.0exitinterface vlan20zone "trust"ip address 192.168.20.1 255.255.255.0exitinterface vlan30zone "trust"ip address 192.168.30.1 255.255.255.0exitinterface ethernet0/0switchmode trunk vlan 10switchmode trunk vlan 20switchmode trunk vlan 30Exit ...

1. 需要剖析局部用户须要在命令行界面下进行防火墙根底上网配置，本文展现如何在命令行下配置防火墙的根底上网步骤。 2. 解决方案2.1 软硬件信息硬件平台 SG-6000-E1700软件平台 StoneOS 5.5R7P5 2.2 组网拓扑 2.3 环境阐明运营商线路连贯防火墙外网出接口(E0/0)地址:200.0.0.135/24，内网接口(E0/1)地址:192.168.10.1/24连贯PC，测试PC地址为192.168.10.10/32。 2.3 配置步骤（1）外网接口配置SG-6000(config)# interface e0/0 SG-6000(config-if-eth0/0)# zone untrust SG-6000(config-if-eth0/0)# ip address 200.0.0.135SG-6000(config-if-eth0/0)# manage ping SG-6000(config-if-eth0/0)# manage ssh SG-6000(config-if-eth0/0)# manage https SG-6000(config-if-eth0/0)# exit（2）内网接口配置SG-6000(config)# interface e0/1SG-6000(config-if-eth0/1)# zone trustSG-6000(config-if-eth0/1)# ip address 192.168.10.1/24SG-6000(config-if-eth0/1)# manage pingSG-6000(config-if-eth0/1)# manage sshSG-6000(config-if-eth0/1)# manage httpsSG-6000(config-if-eth0/1)# exit（3）默认路由配置SG-6000(config)# ip vrouter trust-vrSG-6000(config-vrouter)# ip route 0.0.0.0/0 200.0.0.2 （运营商提供的网关）（4）源NAT配置SG-6000(config-vrouter)# snatrule from any to any service any eif e0/0 trans-to eif-ip mode dynamicportSG-6000(config-vrouter)# exit（5）安全策略配置SG-6000(config)# rule from any to any service any permit 注：本案例为全放行策略，具体业务环境请精细化策略。2.4 后果验证接口： ...

1. 需要剖析局部用户须要在WebUI界面下进行防火墙根底上网配置，本文展现如何在WebUI下配置防火墙的根底上网步骤。 2. 解决方案2.1 软硬件信息硬件平台软件版本SG-6000-E1700StoneOS 5.5R8P32.2 组网拓扑 2.3 环境阐明防火墙部署在互联网进口，运营商提供固定 ip：100.10.1.1/24（配置在 E0/6 接口）、网关：100.10.1.254、 DNS:114.114.114.114；防火墙与内网外围交换机相连内网口应用 E0/4接口，内网有两个网段 192.168.0.0/24 和 172.16.0.0/24，配置防火墙使内网能够失常拜访互联网。2.4 配置步骤根底上网需实现接口、路由、SNAT、策略配置，具体配置如下（StoneOS 5.5R8P4.1）。 2.4.1 接口配置在网络--接口中编辑对应以太网接口配置 IP 、掩码和治理形式： 图一：出接口（外网接口）配置 图二：入接口（内网接口）配置 2.4.2 路由配置在网络--路由--目标路由中新建默认（缺省）路由： 图三：默认路由配置 图四：回指路由配置（1） 图五：回指路由配置（2） 2.4.3 源 NAT 配置策略--NAT--源 NAT 中新建源 NAT ，使内网 PC 的 IP 地址转换为公网出接口 IP 上网： 图六：源NAT配置 2.4.4 安全策略策略--安全策略中新建安全策略放行内网拜访外网流量： 图七：安全策略配置 3. 补充阐明命令行界面配置请参考案例《防火墙根底上网配置_CLI》。 ☛ 如果有一天你不开心了，记得来这里看一看呀！

近日CVE-2022-1329 WordPress Elementor呈现执行破绽，截至发文以后，天翼云Web利用防火墙（边缘云版）已监测并拦挡到相干攻打，请相干用户尽快采取措施进行排查与防护。 破绽形容WordPress是驰名的博客框架，基于PHP语言开发，应用MySQL作为其数据库。而Elementor是WP中风行的一个页面构建插件，据官网介绍寰球有超一千万个网站在应用Elementor。该破绽能够让WordPress中的普通用户在WP站点中上传本人的PHP代码并运行，造成极大的危害。 破绽详情破绽名称: WordPress Elementor近程代码执行破绽编号: CVE-2022-1329破绽类型: 近程代码执行组件名称: Elementor影响版本: 3.6.0-3.6.2破绽等级: 重大 自检倡议查看以后WordPress是否应用Elementor插件，及其版本是否在受影响范畴中。 破绽修复或缓解倡议1. 更新Elementor组件到最新版本2. 敞开WordPress的对外开放注册 天翼云Web利用防火墙（边缘云版）第一工夫已反对检测拦挡该破绽天翼云平安钻研团队在2022年4月18日即开启对该破绽的关注与钻研工作，提前对该破绽进行预警进攻，已于2022年4月18日反对该破绽防护。并于2022年4月20日已捕捉该破绽的攻击行为，在攻击行为大规模暴发之前就帮忙用户提前进行检测与进攻。已购买天翼云Web利用防火墙（边缘云版）用户无需任何操作即可受爱护不被此破绽利用。Web利用防火墙（边缘云版）1、订购Web利用防火墙（边缘云版）后，在自助客户控制台接入防护域名后，接入防护域名默认反对防护，不须要手动更新规定库和配置。2、订购Web利用防火墙（边缘云版）服务。第一步，关上天翼云官网http://www.ctyun.cn，注册并登录；第二步，未实名认证的用户需按提醒实现实名认证能力开明Web利用防火墙（边缘云版）服务；第三步，CMP和ZEN门户曾经反对订购，订购后自助开明性能；点击业务受理单-创立受理单（试用/商用）-增加资源-平安产品-Web利用防火墙（边缘云版）-提交资源。 3、开明胜利后，登录客户控制台：https://cdn.ctyun.cn/h5/ctwaf，接入防护域名，防护开关确认为开启。第一步，进入Web利用防火墙（边缘云版）客户控制台，抉择【域名治理】，点击【增加域名】；第二步，填写域名接入信息，依据页面的疏导填写域名的源站信息、申请协定、服务端口、回源协定和回源端口等信息；增加域名配置页  第三步，依据您的需要，填写完域名的的源站信息、申请协定、服务端口、回源协定和回源端口等信息，点击【下一步】填写域名平安配置页面；域名平安配置信息页 第四步，抉择域名的防护模式和防护模版后，点击【提交】；提交胜利后，能够点击【返回域名列表】页面；第五步，实现新增域名操作后，配置实现后，域名治理页面提供cname地址；第六步，要启用Web利用防火墙服务，须要您将防护域名的DNS解析指向咱们提供的CNAME，这样拜访防护域名的申请能力转发到平安节点上，达到防护成果。

云计算、虚拟化、SDN 蓬勃发展，推动企业业务迁徙上云，带动云端数据和资产快速增长。 随之而来的是，数据透露、网络攻击、病毒破绽等平安危险骤增。依据 McAfee 对云服务的网络攻击钻研，2020 年第四季度，近 310 万个云用户账户受到内部攻打。云端数据和资产平安保障越来越受到重视。 因为基础架构的复杂性和攻打伎俩的一直倒退演变，传统的平安组策略曾经不足以抵挡日益简单的网络攻击。用户急需一款产品来进攻云上常见的网络攻击，青云QingCloud 云防火墙应运而生。 本次直播，青云QingCloud 云防火墙产品经理将与大家分享如何利用多维度的安全策略，帮忙用户无效抵挡攻打，保障数据和资产，并满足等保合规。 3月1日（星期二） 20:00-21:00 咱们在青云直播间等你！

12月22日，腾讯平安举办了2021腾讯新一代云防火墙线上发布会，正式对外颁布了云防火墙产品新性能。 腾讯新一代云防火墙在实现SaaS部署、即开即用的根底上，集成了云原生应用程序的灵活性、扩展性、弹性和可管理性，领有十大核心技术能力，并由腾讯天幕PaaS提供底层平安算力驱动，可无效帮忙企业应答云环境下平安防护难题。 据中国信息通信研究院数据显示，以后我国数字经济规模已超过5.4万亿美元。随着数字经济向更深、更广畛域交融，上云成为了各行各业里企业的必修课。然而，企业在云环境下面临着资产数量宏大难治理、被动外联管控难精密、内网横移危险高及管理员总是被动进攻的云上业务痛点。 具体来看，云上获取资源便捷、公网IP数量多，使得企业云上资产裸露面更大、更易被入侵，这时该如何高效治理和防护这些资产？在挖矿木马、勒索病毒流动日益猖狂的状况下，如何辨认歹意行为并帮助主机平安主动阻断？云内业务间的流量不可见时，如何解决东西向流量的可视、可控、可审计？在进攻策略上如何化被动为被动，坑骗攻击者及溯源取证？上述一系列问题的存在，都让企业云上平安防护备受枷锁。 针对云环境下企业平安防护痛点，腾讯平安从企业上云第一道平安防线——“云防火墙”上发力，全新推出新一代云防火墙产品，以更优化的事先排查、实时拦挡、溯源取证计划，打造云上的流量平安核心，策略管控核心，实现SaaS化一键交付，帮忙腾讯云内外用户轻松应答各类网络攻击及威逼挑战！ 面对“资产数量宏大难治理”这一难题，腾讯云防火墙可一键主动梳理公网资产、内网资产、数据库资产等云上资产和重要业务资源，实现智能分组治理并自动识别业务的端口裸露、破绽裸露和Web组件裸露，同时借助小时级别的IPS虚构补丁和微信扫码认证能力，为用户提供更无效的平安管控伎俩。 对于“被动外联管控难精密”这一难题，借助10亿+域名信用库、20亿+IP信用库、90亿+DNS信用库、100亿+寰球文件样本库及18年+Who is信息，腾讯云防火墙可实现秒级别的云端威逼情报更新，并基于域名、地理位置的ACL一键封禁海内IP拜访。 此外，针对“内网横移危险高”、“管理员总是被动进攻”这类难题，腾讯云防火墙借助VPC间防火墙、企业平安组、内网流量可视化三大外围能力，实现东西向管控，同时利用网络蜜罐、网络流量日志留存与报表剖析能力，实现0误报、延缓攻打、满足等保合规要求，实现云上根底网络安全管控最佳实际。 从实战攻防角度来看，腾讯云防火墙价值突出，作为1000+客户的首选，已宽泛笼罩金融、政府、媒体、汽车、交通、物流、游戏等泛互联网行业。目前已胜利拦挡利用Jenkins未受权拜访破绽针对云主机的攻打、利用Freakout僵尸网络管制智能设施针对云主机的攻打，胜利阻断BuleHero挖矿蠕虫攻打，并断绝了该攻打事件对客户IT资产造成的影响，同时对于跨平台蠕虫HolesWarm利用20余种破绽武器攻打Windows、Linux零碎，腾讯云防火墙也实现了拦挡且效果显著！ 在游戏行业，WinnTi组织针对指标进行供应链攻打并偷取游戏代码，腾讯云防火墙通过浸透、埋伏、横移、回连四个角度分析攻击手法，同时针对挖矿木马、歹意病毒、暴力破解以及各种网络及高威逼攻打，主动阻断歹意外联、收敛裸露面、利用小时级别的虚构补丁，实时拦挡破绽利用。 在金融行业，腾讯云防火墙基于平安算力算法PaaS驱动的流量剖析能力，实现了事先敏锐感知与隔离，事中针对性假装仿真和预先黑客画像精准绘制。比方，爱心人寿在业务倒退过程中面临着信息安全危险越来越高的窘境，通过部署腾讯云防火墙，升高了系统故障危险，大幅晋升系统安全并保障其稳固运行。 云防火墙作为企业上云的第一道平安防线，是等保必备的护网利器，部署云防火墙已成为以后企业的刚性需要。将来，腾讯云防火墙还将在集成腾讯云原生的全网威逼情报能力、基于攻击者视角的漏扫能力、恶意代码检测能力上不断更新迭代，使用腾讯团队20余年攻防实战经验和数千客户的最佳实际，为上云企业提供更具细粒度的平安技术，进而实现高效的云端访问控制与平安进攻。

随着数字经济时代的到来，上云成为了企业的必修课。而在云环境下，企业面临着更加严厉的数据安全、破绽防护及云上资产梳理问题。轰动寰球的Capital One上亿信用卡数据泄露、五角大楼Tb级机密文件泄露、5亿份Facebook个人资料泄露等事件，更是引起了行业对网络边界平安的宽泛探讨。 云防火墙是企业做好边界防护、实现平安上云的第一道平安门户，在平安经营大行其道的时代，部署云防火墙逐渐回升为企业的刚性平安需要。作为一款针对云环境打造的平安产品，云防火墙集成了云原生应用程序的灵活性、扩展性、弹性和可管理性，能够通过侦察和扫描，梳理出企业云上资产在互联网上的裸露面，智能阻断歹意文件，被动外联实现失陷检测，进而横向挪动实现对重点资产的重点防护。 腾讯云防火墙，作为1000+客户的首选，已笼罩金融、政府、媒体、汽车、交通、物流、游戏等泛互联网行业，其分钟级别一键交付的性能，大大放大了客户应用和日常运维的老本。于企业而言，云防火墙实现了对数据更为粗疏的爱护，也让用户得以按时按需租用应用。另外在抵挡DDoS攻打方面，云防火墙云原生的劣势，使其能够轻松应答千兆或TB级攻打。 然而，随着黑客攻击伎俩与人工智能技术的一直联合，部署云防火墙的客户在突飞猛进的云环境中，也时刻面临着新问题与新困扰。比方，平安组配置繁多是否存在配置疏漏，进而导致防护破绽；以及减少云防火墙后，策略配置是否会变得更为简单。种种根底平安管控的困扰，使得客户在应用云防火墙产品时备受枷锁。 如何冲破云防火墙产品的枷锁和瓶颈？12月22日14:00，腾讯平安将公布“新一代云防火墙产品”，以更优化的事先排查、实时拦挡、溯源取证计划，打造云上的流量平安核心，策略管控核心，实现SaaS化一键交付，帮忙腾讯云内外用户轻松应答各类网络攻击及威逼挑战！ 欢送感兴趣的行业同仁关注腾讯平安视频号进行直播预约，和咱们独特探讨如何针对云上流量建设更加可信、可控、可审计的平安防护体系，实现云防火墙产品的效用最大化。

简介： 云上多账号环境下的网络对立治理，是大型分支型企业网络安全防护的必经之路。无论是外企入华、国内企业出海，还是外乡集团型企业规模化成长，云上对立网络安全管控与整体平安态势感知，都能够拉齐企业账号间平安水位，让平安防护无死角。 引言中大型企业上云时，通常抉择依照业务线、我的项目或应用场景、生产测试环境来建设多账号体系。绝对于单账号体系，多账号间的云资源默认隔离，便于不同产品/分支机构间进行独立的老本结算和运维治理，缩小了单账号下过于宽泛的RAM权限带来的危险。 但同时，也会使平安治理变得较单账号体系简单： 平安报表剖析、资产盘点须要笼罩多个云账号，统计耗时耗力；安全策略不得不在多个账号中进行反复配置，运维人员陷入“重复劳动”陷阱；破绽攻打、入侵、失陷等异样行为在影响多个账号时，应急处理慌手慌脚；多个业务账号下，南北向与东西向流量不足对立视角，日志剖析不足全局剖析能力。那么，从不同企业业务需要和组织架构登程云防火墙是怎么在阿里云上实现多账号对立平安纳管的呢？一起打开这本“心法秘籍”来一探到底 云墙“心法”一：集中用兵，打歼灭战业务再多，防护也有“上帝视角”云上的大、中型企业，业务类型千差万别，造成少则数十、多至数千的业务子账号，企业平安人员治理数千至十几万资产的对立防护，平安运维压力大。传统的网络进攻架构下，防火墙的管理权限分属于不同业务部门，每个业务账号独立治理，不足对立视角，被动式入侵检测难逃“亡羊补牢”的难堪。 互联网出入口治理：互联网出入口扩散在不同账号中，进出流量夹杂大量攻打，针对EIP的攻打并发性强，而账号分属不同owner，防护碎片化；攻打IP封禁：强反抗场景考验企业进攻策略，对IP封禁策略、黑名单机制和被动外联行为发现的实时性有严苛要求；蠕虫治理：一旦暴发强传染性蠕虫，云上进攻须要实现组织对立管控，即时进攻；破绽修复：在组织层级架构下，针对高危/中危破绽认知程度、修复伎俩和破绽进攻理解力亟待拉齐；误报率高：不足账号间关联关系学习，传统防火墙难以辨别关联用户高频失常拜访与暴力破解，入侵检测误报率高。 图 数千账号入侵防护亡羊补牢 vs 多业务账号对立入侵防护架构图 云防火墙公网资产主动平安纳管通过阿里云·云防火墙的跨账号对立互联网边界资产治理能力，用户可能在一个控制台对立治理各个账号下的EIP资产，笼罩ECS、SLB和NAT资源。当受管账号发现新的网络资产时，会主动被云防火墙纳管，防止资产脱漏，网络进攻无短板。 排除业务间防护盲区对于开启了防护的公网裸露资产，所有IPS规定即刻失效，多个账号下互联网边界对立平安进攻，真正实现针对内部歹意入侵、攻打的单点告警和全业务象限协同拦挡，升高因为管控疏漏导致的网络安全事件。 裸露面一键收敛：拨开简单业务场景流量，依附深度报文解析和海量历史日志的机器学习，实现边界裸露面的一键策略收敛，攻打水位降落90%；大数据协同进攻：依靠图计算情报关联自成长，日均千万级的高质量精准情报实时拦挡，协同构建多账号企业的动静网络安全边界，攻防和僵木蠕场景实现寰球云网络视线的最早在朝利用的可见可防；虚构补丁：为云上客户实现针对近程可利用破绽（RCE）的跨账号虚拟化进攻，拉齐应急响应能力。白名单策略升高误报：基于账号间关联关系的流量学习，在企业账号间造成更高置信度的白名单策略，企业账号间互访实现0误报。云墙“心法”二：力争被动，力避被动跨业务环境统管，安全策略配置一次搞定服务或资源隔离是缩小零碎间依赖，防止故障蔓延的重要伎俩。云上企业往往通过划分不同的VPC，将须要隔离的业务资源从网络层面离开。混合云架构下，对于不同的业务分支或环境属性，云账号撑持着更简单的隔离与业务互访场景，如IDC与VPC间、VPN、专线等。简单隔离拜访需要带来的，是更为简单的安全策略配置。 重复劳动：在不同的账号下搭建防火墙设施，在不同的区域中配置拜访控制策略ACL，导致一条雷同的策略须要屡次配置；策略抵触：对于不同的账号环境下的策略，不足对立管控，极易造成访问控制时的策略抵触等问题；业务碰壁：同一企业不同业务/环境间平安控制策略难以同步，重大时有可能影响业务（如：针对某类入侵，测试环境未设置阻断，而生产环境阻断未进行测试，防护规定与业务抵触，影响失常业务流量）。 图 多环境平安配置忙乱 vs 跨业务/开发-测试-生产环境策略配置统管 策略统管更高效阿里云·云防火墙目前通过集成CEN服务，为企业跨账号以及跨VPC的流量互访，提供了对立的策略管控能力，帮忙企业通过一个策略配置平台，实现不同账号和VPC间的拜访控制策略对立治理，除了笼罩VPC间互访外，还能针对专线和云连贯网CCN等混合云场景，实现一条策略，全局失效，单条策略下发耗时从原来的以天为单位缩短到以秒为单位，免去了屡次配置同样策略所减少的工作量和危险，帮忙企业更好的实现对立管控。 云墙“心法”三：精勤谨慎，指挥若定多地分公司对立平安报表剖析与结算组织架构肯定水平上决定了云账号的构造，无论是团体-子公司运作模式，或是多分支机构运作模式，企业安全部门最大的难题就是对各个业务运行环境的对立平安感知能力，而其中，网络安全又是最重要的剖析对象之一。企业在互联网侧总共裸露了多少网络端口，以后有多少个隔离域正在运行，布局的南北向和东西向隔离策略是否失常失效，有多少网络入侵事件每天在产生，全量的日志是否如布局被正确记录以满足审计的要求，是否有异样的流量正在产生，业务间的调用关系是否正当等，这些网络安全运维问题在一个账号下还绝对可控，但一旦扩散到多个云账号下，对于管理人员就成了劫难，流量数据的对立，网络日志的对立，攻打剖析的对立，对于日常的平安运维，简直都是“不可能的工作”。 图 多分支机构通过治理账号实现对立报表剖析与结算 集中流量剖析与报表统计通过集中化的数据统计，网络安全运维人员只须要关注对立的数据平台，就可能实时把握企业整体的网络安全运行态势、资产裸露状况、策略配置和成果、入侵进攻数据，并且将不同账号环境下的日志数据自动化进行归集，在满足诸如等保2.0等合规要求的根底上，通过对立的剖析，优化报表统计，使得后果更为精确，全面，也能更好的为后续优化工作提供数据根底。 用户声音“云防火墙的集中管控能力帮忙咱们将云上多个业务账号和第三方测试账号进行了对立纳管，实现了一个控制台的防护可视化。这大大简化了日常的网络策略运维工作，晋升了网络流量对立剖析的效率和品质，十分好地满足了咱们企业对于网络安全集中化治理的需要，并且为将来更精细化的网络策略管控铺平了路线。”——某大型金融企业信息安全负责人 云上多账号环境下的网络对立治理，是大型分支型企业网络安全防护的必经之路。无论是外企入华、国内企业出海，还是外乡集团型企业规模化成长，云上对立网络安全管控与整体平安态势感知，都能够拉齐企业账号间平安水位，让平安防护无死角。 原文链接本文为阿里云原创内容，未经容许不得转载。

摘要：揭秘镖局那些鲜为人知的终极法宝本文分享自华为云社区《大揭秘！华为云“平安镖局”的机密法宝居然是……》，原文作者：华为云头条。 企业业务部署在云端 便当枚不胜举 但平安危险也相伴相生 防护过金融、电商、政企等上万家企业的 华为云“平安镖局” 如何给云上企业满满的“安全感”？ 答案就在于：它领有泛滥平安防护法宝！ 法宝1：服务器“金牌保镖”——企业主机平安 HSS服务器是黑客眼中最现实的肉鸡很容易成为攻击者的首要指标 作为承载用户业务底座之一的云主机 守护其平安的重要性显而易见 修破绽、防勒索、防入侵、防篡改…… 云主机有它的“金牌保镖” 「华为云企业主机平安 HSS」 它通过全端统管、主动防御、智能检测等性能 帮忙企业更不便地治理主机平安危险 实时发现黑客入侵行为，满足等保合规等要求 法宝2：应用服务“防护神”——Web利用防火墙 WAF网页被篡改，拜访被钓鱼 一做流动就宕机…… 许多企业的要害业务依赖于Web利用 而互联网上75%的攻打都集中在应用层 Web利用的防护必须由它出马 应用服务“守护神” 「华为云Web利用防火墙 WAF」 高效的威逼检测能力，精准辨认攻打流量 0day破绽疾速修复能力，及时抵挡最新威逼 灵便的自定义策略配置，满足各种运维要求 轻轻通知你 华为VMALL商城每一次 手机抢购流动都能这么丝滑 秘诀之一就是因为有它！ 法宝3：数据资产“贴身守卫”——数据安全核心DSC数据资产是企业价值外围 数据须要流通，然而不能“裸奔” 隐衷数据泄露给企业带来的不只有业务损失 还可能面临巨额罚款 外部用户操作不当、蓄意泄密 内部黑客攻击等 很容易就让重要数据“外流” 数据金矿如何守？你须要一名数据资产“贴身守卫”「华为云数据安全核心DSC」 DSC作为新一代云原生数据安全平台围绕数据采集、传输、存储、解决应用替换和销毁各个阶段构建爱护数据全生命周期平安 反对数据水印溯源 爱护版权，也让泄露有迹可循 分钟级的敏感数据辨认能力 精准锁定外围数据 不便对不同重要水平的数据进行不同等级的爱护 提供数据资产的全生命周期全景图 数据在哪里？怎么应用的？ 有无平安问题？ 都能清清楚楚，明明白白 法宝4：云上危险“监控台”——态势感知SA云上攻打从哪儿来？资产短板无感知？ 有了上面这件法宝 个别平安运维管理人员头疼的问题你都能够没有！ 云上危险“监控台”—「华为云态势感知SA」 反对13种根底云服务的基线查看 及时发现资源软弱点 凋谢南北向API 反对7种数据接入及北向导出第三方 平安经营效率倍速晋升 ...

Web零碎承载着各企事业单位的门户、注册登录、业务执行等职责，很容易蒙受各种类型的歹意流量攻打，影响利用可用性、侵害安全性或耗费过多的资源，UCloud Web利用防火墙UWAF则能够无效爱护用户的 Web 应用程序免受各种常见 Web破绽的攻打。不同于传统利用防火墙，UWAF按使用量付费、随用随开、简略便捷，还能够将UWAF作为网络攻击解决方案的一部分与DDoS高防服务联合，从而取得更全面的防护。 UWAF自上线以来，已帮忙泛滥用户无效辨认歹意爬虫、CC攻打等歹意流量行为，成为Web端业务的进攻利器。 近期，UWAF又迎来了一次重大降级，次要包含如下重点性能： 1）新增华南-IPv6 区域节点扩大包，2）推出IPv6合规解决方案，3）新增中国边疆体验版。目前，UWAF已反对支流Web破绽检测和拦挡、最新高危破绽防护、虚构补丁、防SQL注入、防CC，网页防篡改，区域IP封禁，歹意IP封禁，日志查问，机器行为检测等性能，并可灵便自定义防护策略。此外，联合UCloud提供的SSL证书服务，Web业务可轻松实现HTTPS平安拜访。 新增华南-IPv6区域节点扩大包 国务院办公厅在《推动IPv6规模部署行动计划》里，要求2020年底市地级以上政府外网网站、国内用户量前100网站、5G网络及业务实现IPv6反对。2020年底，金融业机构面向公众服务的互联网利用零碎需反对IPv6连贯拜访,并具备与IPv6革新前等同的业务连续性保障能力。与此同时，国内三大运营商正在陆续向终端宽带用户下发IPv6地址，2020年末国内IPv6沉闷网民将达到5亿，不反对IPv6的网站在获客能力上劣势显著。 在此背景下，各大政府、金融企业纷纷开始加大IPv6的革新力度，但业务零碎反对IPv6后，黑客亦可通过IPv6网络随便发动网络攻击。若安全设备不反对IPv6防护，业务零碎将齐全裸露在歹意攻击者背后。UCloud在帮助诸多用户通往IPv6之路上，发现了以下诉求和痛点： 业务须要疾速通过IPv6革新，缩小业务中断危险；IPv6单栈用户可能失常拜访未及时革新的IPv4网站和利用；随着IPv6阶段性逐渐革新，硬件投入消耗大、耗时久；IPv6革新后应具备革新前等同的业务连续性保障能力。针对这些问题，新版UWAF上线了华南-IPv6区域节点扩大包，反对域名双栈接入UWAF进攻，从而提供IPv6革新+平安防护的云端解决方案，助力政府金融客户IPv6革新合规前行、平滑演进。 UWAF IPv6合规解决方案1、计划特点 疾速领有IPv6拜访能力对原有IPv4网站和利用无任何改变，疾速实现让现有IPv4业务零碎具备IPv6终端拜访能力，不必增加任何硬件设施。 域名双栈接入防护提供IPv4/IPv6双栈接入和平安防护，无论用户采纳IPv4/IPv6哪种连贯形式，均能失常拜访，并具备革新前等同的业务连续性保障能力。 该计划实用于政府、教育、金融业内尚未反对IPv6的业务零碎，帮忙企业晋升从互联网市场获客的能力，进攻IPv6环境下发动的攻打，同时满足安全监管和合规要求。 2、方案设计 接入IPv6域名防护后，用户能够通过IPv4或IPv6的地址进行拜访申请，由UWAF实现对IPv4和IPv6流量的威逼检测与进攻，随后对立采纳IPv4的形式将平安的拜访流量回源到后端的源站服务器(RS)。同时如果下层链路为IPV6申请的，会将IPV6的客户端IP地址通过x-real-ip的形式透传给后端RS，如图所示： 3、落地反对 满足合规要求、须要域名双栈接入、对来自IPv6环境的网络攻击进行进攻是金融客户常见的三点需要，应用UWAF IPv6合规计划后，通过v6转v4即可防止源站的降级革新，源站就可能获取客户端实在IPv6地址，此外，UWAF还反对对v6内容进行解析和检测、反对黑白名单的增加。后续将进一步反对IPv6回源、多区域部署等性能，助力政府金融企业疾速、平安的实现IPv6革新。 UWAF中国边疆体验版上线 放心网站被攻打？改选哪家WAF保障业务？资金估算缓和？置信全新的UWAF中国边疆体验版能够帮你解决这些问题，售价仅1元，一次省下4679元！ 虽说是体验版，但重要的性能个性一个都没少：常见Web攻打防护、Web 0day破绽防护、CC攻打防护、IP黑白名单、日志服务、7*24小时业余平安团队技术支持，且反对降级至更多功能个性的版本。 体验版实用于源站部署在中国边疆，须要进行网站防护或测试的客户业务（包含非UCloud云上客户）。更多具体反对请参考：https://docs.ucloud.cn/uewaf/1_product/11_choose UWAF其余变动此次UWAF降级，还有如下变动： 【节点新增】新增海内法兰克福，雅加达区域节点。【性能新增】新增HTTPS网站反对HTTP回源性能，新增攻打详情日志依据客户端IP进行查问过滤性能。【一些优化】客户实在IP获取性能优化，更精确的辨认下层链路传递过去的IP信息；CC攻打检测性能优化，减少刷新CC黑名单性能，实时革除可能被误封堵的客户端IP;区域IP封堵性能优化，反对行业类型、运营商属性等条件进行检测。更多UWAF产品详情欢送点击“浏览原文”进行查看。

iptables基础知识详解