一、功能描述
协同防御功能依靠知道创宇安全大脑,结合知道创宇网络空间测绘引擎ZoomEye的测绘数据动态识别,实时共享知道创宇云防御安全大数据威胁情报与攻击指纹库,同步检测与拦截识别到的各类高危风险IP,快速并精准地拦截来自各行各业的高危攻击源与恶意攻击IP,可大幅度提升攻击防御效果。
二、功能配置
配置入口:https://defense.yunaq.com/cyd_manage/manage/。
A.协同防御威胁情报查询
点击【策略开关】-【添加】进入协同防御设置面板,【协同防御总览】中动态展示了威胁数据集更新时间、恶意IP总数,并提供【协同防御威胁情报查询】功能,可自助查询IP的威胁情报信息。
点击【立即查询】按钮,在查询栏里输入完整IP地址,实现在协同防御情报库中查询IP威胁情报,同时支持IPv4及IPv6的查询。
B.功能设置
协同防御提供“重点行业攻击清洗”、“网络机器流量清洗”、“特定攻击行为清洗”、“重点保障攻击防护”和“IDC访问控制”五大类清洗类型开关。
其中“重点行业攻击清洗”根据行业对攻击IP细分了六大类,包括政府组织、金融理财、教育文化、新闻媒体、医疗健康及其他行业(电商、游戏、IT科技等)。
“网络机器流量清洗”针对网络爬虫、代理攻击、存在网络滥用行为或攻击行为的IDC IP及全球洋葱路由节点访问进行分类,包括恶意代理屏蔽、IDC设备屏蔽以及洋葱路由屏蔽。
“特定攻击行为清洗”针对云防御平台识别的具有特定攻击行为的恶意IP地址分为“漏洞扫描攻击屏蔽”和“网站爆破攻击屏蔽”。
“重点保障攻击防护”针对政府及企事业单位在重点保障时期疑似恶意攻击IP及逆行专项访问屏蔽。
“IDC访问控制”针对来自各大IDC厂商的IP地址进行访问控制,可在特殊场景下加强防御效果。IDC厂商分别为“阿里云IDC”、“腾讯云IDC”、“百度云IDC”、“UCloud IDC”、“亚马逊IDC”、“微软IDC”、“谷歌IDC”和“其他IDC”。
注:“其它IDC”中包含大量国内外IDC厂商,如网宿、51idc、IT7、linode、ovh等,涵盖范围较广请谨慎开启。
注:协同防御为付费功能,免费版无此功能,其中“网络机器流量清洗”、“特定攻击行为清洗”和“IDC访问控制”仅创宇盾企业反爬版套餐可用,“重点保障攻击防护”仅创宇盾旗舰版和专属版可用。
C.协同防御白名单
点击【IP白名单】-【添加】可添加协同防御IP白名单,如下图所示。
IP白名单设置后,协同防御将不会拦截白名单中的IP或IP段,可有效解决误报问题。
三、功能使用推荐
- 日常防护建议不使用此功能。
- 重点保障时期可根据业务选择对应行业的协同防御。
- 移动基站或共用出口IP被屏蔽可能对使用该IP的用户造成影响,如发现此类情况可针对添加协同防御IP白名单。
协同防御最佳实践可参考:http://help.yunaq.com/faq/3398/index.html;
协同防御拦截说明可参考:http://help.yunaq.com/faq/3403/index.html;