协同防御功能最佳实践

一、功能描述

协同防御功能依靠知道创宇安全大脑,结合知道创宇网络空间测绘引擎ZoomEye的测绘数据动态识别,实时共享知道创宇云防御安全大数据威胁情报与攻击指纹库,同步检测与拦截识别到的各类高危风险IP,快速并精准地拦截来自各行各业的高危攻击源与恶意攻击IP,可大幅度提升攻击防御效果。

二、功能配置

配置入口:https://defense.yunaq.com/cyd_manage/manage/

相关说明:【协同防御功能说明】【协同防御拦截说明】。

三、最佳实践

场景一:业务系统归属重点行业,如:政府组织,金融理财,教育文化、新闻媒体、医疗健康或其他行业。

此场景下,知道创宇提供“重点行业攻击清洗”功能,可对经常攻击各行业的IP地址进行屏蔽或二次验证。

场景二:业务系统存在网络恶意爬虫,代理攻击。

此场景下,知道创宇提供“网络机器流量清洗”功能,可对网络爬虫、代理攻击、存在网络滥用行为或攻击行为的IDC IP 及全球洋葱路由进行屏蔽或二次验证。

场景三:业务系统存在扫描器攻击或网站爆破攻击。

此场景下,知道创宇提供“特定攻击行为清洗”功能,可针对经常发起“漏洞扫描攻击”和“网站爆破攻击”的恶意IP地址进行屏蔽或二次验证。

场景四:业务系统需进行重点防护或参加网络攻防演练。

此场景下,知道创宇提供“重点保障攻击防护”功能,可针对政府及企事业单位在重点保障时期疑似恶意攻击的IP地址进行专项屏蔽或二次验证。

场景五:业务系统不允许IDC访问。

此场景下,知道创宇提供“IDC访问控制”功能,可针对各大IDC厂商的IP地址进行访问控制,IDC厂商分别为“阿里云IDC”、“腾讯云IDC”、“百度云IDC”、“UCloud IDC”、“亚马逊IDC”、“微软IDC”、“谷歌IDC”和“其他IDC”。

注:“其它IDC”中包含大量国内外IDC厂商,如网宿、51idc、IT7、linode、ovh等,涵盖范围较广请谨慎开启。

场景六:业务系统开启协同防御后出现拦截情况,但经核实访问者IP为可信IP且是正常访问业务系统。

此场景下,知道创宇提供“协同防御白名单”功能,可针对被协同防御拦截的IP或IP段进行加白,协同防御白名单仅对协同防御功能生效,其他防护功能不影响。

协同防御拦截页面:

添加协同防御白名单: