近年來，隨著企業業務上雲加速，雲上安全成了一個不容忽視的問題。當前許多企業面臨著雲上資產管理難、漏洞風險高、流量不可控等難題。在重要活動保障期間，攻擊者對雲上資源的攻擊也越來越頻繁。

雲防火牆是雲網路邊界上的第一道安全防線，騰訊雲防火牆在重保攻防中，以萬級數量的【黑名單攔截】、針對oa、mail、安全軟體控制檯的【零信任防護】、欺騙攻擊者的【網路蜜罐】三大黑科技，助力企業守好第一道防線。

本文將從防守者的視角，分析在重保場景下，騰訊雲防火牆如何透過“系統防護七步走”的策略，助力企業實現雲上資產的系統性防護。

透視雲上攻擊鏈路

全域性視角部署防線

在部署安全防線之前，大家可以先透過殺傷鏈模型中攻防雙方的時間軸，來了解騰訊雲防火牆在每個階段的作用：

Kill Chain 示意圖

1. 在掃描偵查階段：騰訊雲防火牆可以一鍵梳理企業的雲上資產和資產暴露面，並提供封禁建議，進行暴露面的收斂；另外還會透過威脅情報、地理位置、雲廠商對訪問的IP進行封禁處理；

2. 在投遞、漏洞利用、工具安裝階段：騰訊雲防火牆可以透過IPS和網路蜜罐對攻擊者進行攔截和欺騙；

3. 在外聯C2、橫向移動、資料外傳階段：騰訊雲防火牆可以透過東西向的防火牆、NAT邊界防火牆、內網蜜罐的方式進行檢測和防禦。

系統防護七步走

實現雲上資產高效防護

第一步：梳理資產與暴露面

在騰訊雲防火牆的資產中心，企業可以以全域性視角獲取雲上資產情況；例如，哪些資產有暴露埠？對應的服務是什麼？這些服務是否存在漏洞？另外，騰訊雲防火牆可以將資產進行分組管理，並將分組應用到防火牆所有ACL中，當有新增資產或者暴露面時，便會提供自動化的告警。

第二步：開啟防火牆開關

騰訊雲防火牆開關開啟後，便會開始配置ACL和入侵防禦功能，全面排查和管控邊界流量。在重保期間，漏洞利用是一種攻擊者最常用的方式，所以需要在短時間內把發現的漏洞形成規則，立刻釋出到防火牆中。

第三步：啟用入侵防禦嚴格模式

嚴格模式下騰訊雲防火牆會採用階梯的方式（半小時、1小時、1天）拉黑嘗試攻擊的IP，使得防護更加高效。

第四步：開啟重保專項威脅情報

藉助騰訊安全威脅情報針對重保場景推出的重保情報包，騰訊雲防火牆的使用者只需要開啟一個開關，情報包中的IP地址便會自動加入到封禁列表，攔截所有訪問行為。

第五步：加固脆弱業務

雲上的常見攻擊一般來源於ssh/rdp的爆破和一些oa、mail、VPN系統的漏洞攻擊。隨著遠端辦公和混合辦公的常態化，IP白名單變得不夠靈活。

• 騰訊雲防火牆零信任防護可以支援微信的身份訪問控制，遮蔽管理埠，避免爆破攻擊；同時支援SSH和RDP，使用者只需在防火牆上配置白名單即可完成對脆弱業務的訪問控制

• 對於使用企業微信的使用者， 可以提供基於架構的靈活ACL訪問能力，並且這些訪問均進行了記錄、可以用於追溯和審計

• 網路攻擊是重保攻防時高頻的攻擊手段，騰訊雲防火牆可以提供零信任Web防護：

1. 收斂網路服務的公網暴露，提供簡單人機防護

2. 隱匿源站並針對各類Web類服務提供統一訪問接入入口，透過微信/企微對訪問者進行身份鑑別，可以有效規避網路攻擊

3. 微信/企微內免掃碼，一鍵訪問

1. 管理員登入控制檯並分配許可權，支援微信或企業微信

2. 運維使用者在命令列輸入零信任防護登入命令，命令列彈出二維碼

3. 微信掃碼驗證，驗證透過後即可開始遠端運維工作

4. 管理員可在雲防火牆控制檯對運維人員操作進行審計

第六步：管控主動外聯

重保期間需重點關注vpc的外聯流量，一般攻擊成功後都會進行C2通訊，下載後門等動作，騰訊雲防火牆透過NAT邊界防火牆、網際網路邊界的外聯管控以及入侵防禦能力可以快速檢測到攻擊事件並進行實時阻斷。

第七步：部署網路蜜罐

除常規防護外，騰訊雲防火牆還提供網路蜜罐的能力。防火牆的蜜罐支援一些常用的oa系統和具備溯源攻擊者能力的特殊蜜罐，可將其部署在公網來欺騙攻擊者的攻擊流量；也可將蜜罐部署在內網當中，一旦攻擊者突破了層層防禦，在做內網探測的時候便會被防火牆及時發現並做相應的隔離處置。

在重保場景下，防守方可以化被動為主動，設定“陷阱”完整記錄攻擊方的行為，作為防守方的防守依據；並且由於攻擊方將矛頭對準蜜罐中的模擬業務，防守方的真實業務得到保護。

騰訊雲防火牆是一款基於雲原生SaaS化的產品，支援一鍵交付、彈性擴容，可提供所有網路邊界的訪問控制、身份認證、入侵防禦 （威脅情報）等流量管控能力，並整合漏洞掃描、網路蜜罐、日誌審計等功能，透過事前排查、事中實時攔截，事後溯源取證的全流程方案，打造雲上的流量安全中心、策略管控中心，助力企業築牢第一道安全防線。

歡迎大家在騰訊雲官網搜尋“雲防火牆”體驗試用。