Cloudflare 将添加四个新的托管 IP 列表以用作任何自定义防火墙规则的一部分,从而扩展我们的 WAF 威胁情报能力。
托管列表由 Cloudflare 创建和维护,并基于通过分析互联网上观察到的模式和趋势所收集的威胁情报源进行构建。Enterprise 客户已经可以使用 Open SOCKS 代理列表(于 2021 年 3 月推出),如今我们将添加四个新的 IP 列表:“VPN”、“僵尸网络、命令和控制服务器”、“恶意软件”以及“匿名程序”。
客户可以在创建自定义防火墙规则时或在高级速率限制中引用这些列表。例如,您可以选择阻止我们归类为 VPN 的 IP 所生成的所有流量,或对所有匿名程序生成的流量进行速率限制。您可以直接在功能强大的防火墙规则构建器中纳入托管 IP 列表。当然,您还可以使用自己的自定义 IP 列表。
这些源从何而来?
这些列表基于 Cloudflare 生成的威胁源,它们作为 IP 列表提供,以便轻松在 WAF 中使用。对每个 IP 进行分类的方法是,合并开源数据并分析利用 Cloudflare 网络规模和覆盖范围的每个 IP 的行为。在其中一个源中包含某个 IP 之后,我们验证此分类,将这些信息反馈到我们的安全系统中,并以托管 IP 列表的形式提供给我们的客户。每个列表的内容每天会更新多次。
除了基于 Cloudflare 的内部数据生成 IP 分类之外,Cloudflare 还会精选并组合多个数据源,我们认为这些数据源能够可靠地覆盖有效安全威胁,且误报率很低。在如今的环境中,属于云提供商的某个 IP 可能今天在散布恶意软件,明天就成为您公司的关键资源。
某些 IP 地址分类属于可公开获取的 OSINT 数据(例如,Tor 出口节点),并且 Cloudflare 会负责将其集成到我们的匿名程序列表中,这样您就不用管理如何将此列表集成到您网络中的每个资产。其他分类则利用各种 DNS 技术来确定或审查,例如查找、PTR 记录查找以及观察来自 Cloudflare 网络的被动 DNS。
我们专注于恶意软件以及命令和控制的列表是通过精选合作伙伴关系生成的,我们在选择合作伙伴时针对的一种 IP 地址类型是可识别安全威胁且没有关联 DNS 记录的数据源。
我们的匿名程序列表覆盖执行匿名化的多种服务,包括 VPN、开放代理和 Tor 节点。它是范围更狭窄的 VPN 列表(已知商业 VPN 节点)和 Cloudflare 开放代理列表(无需进行身份验证即可中继流量的代理)的超集。
仪表板内 IP 注释
使用这些列表为这些 IP 部署预防性安全策略固然是好,但要是知道正在与您的网站或应用程序交互的某个 IP 属于僵尸网络或 VPN 的一部分该怎么办?我们在 Security Week 2022 活动中首次针对匿名程序发布了上下文信息,但如今已将该功能扩展至覆盖所有新列表,从而让这件事更加圆满。
作为 Cloudflare 威胁情报源的一部分,我们直接将 IP 类别公开给仪表板。假设您要调查被 WAF 阻止的请求,这些请求企图探测您应用程序的已知软件漏洞。如果这些请求的源 IP 匹配我们的某个源(例如,VPN 的一部分),上下文信息将直接显示在分析页面上。
此信息可以帮助您看清模式,并决定是否需要使用托管列表来以特定方式处理来自这些 IP 的流量,例如通过创建速率限制规则来减少这些行为者在一段时间内可以执行的请求数。
谁获得这项服务?
下表总结了哪些计划可以访问其中每项功能。任何付费计划都可以访问仪表板内的上下文信息,而 Enterprise 将能够使用不同的托管列表。托管列表只能在 Enterprise 帐户中的 Enterprise 区域使用。
| FREE | PRO | BIZ | ENT | 高级 ENT * | |
|---|---|---|---|---|---|
| 注释 | x | ✅ | ✅ | ✅ | ✅ |
| 开放代理 | x | x | x | ✅ | ✅ |
| 匿名程序 | x | x | x | x | ✅ |
| VPN | x | x | x | x | ✅ |
| 僵尸网络、命令和控制 | x | x | x | x | ✅ |
| 恶意软件 | x | x | x | x | ✅ |
* 联系您的客户成功经理以了解如何访问这些列表。
未来发布
我们正在致力于进一步丰富我们的威胁源。未来几个月,我们将提供更多 IP 列表,具体来说,我们会考虑提供云提供商和运营商级网络地址转换 (CG-NAT) 的列表。