腾讯云防火墙是一款云原生的SaaS化防火墙,为企业公有云业务提供的流量侧安全方案,利用集成的威胁情报能力、入侵防御能力,保护企业公有云资产安全。腾讯云防火墙检测由外向内、由内向外、以及由内向内三个方向的网络流量。基于对网络流量的应用内容分析(如SSH、RDP、MySQL、HTTP等),结合腾讯威胁情报系统,对恶意攻击进行检测拦截。
由于公有云网络服务组件的复杂性、多样性,这些组件出现安全漏洞的可能性较大,影响也较大,攻击者利用高危漏洞,可能窃取企业信息、控制云服务器挖矿,也能加密云数据库进行勒索攻击。
在某重保客户应用场景,蜜罐系统部署的腾讯云防火墙捕捉到大量疑似攻击IP对服务器进行漏洞扫描,腾讯云防火墙虚拟补丁防御规则检测到利用某组件漏洞的攻击活动频繁,结合威胁情报系统定性分析,综合判定为疑似攻击者的IP。驻场服务专家团队对客户部署的云防火墙进行检测规则扩容优化处理,与腾讯天幕(NIPS)联动,将攻击IP封禁阻断,威胁顺利解除。
日常运维实践中,大量网络黑产利用服务器高危组件漏洞和各种弱口令攻击企业云服务器,攻击得手后控制企业云主机组建僵尸网络挖矿、窃取企业核心数据,利用被控云主机攻击其他计算机系统等等。
腾讯云防火墙防御典型挖矿僵尸网络模型