订阅以接收新文章的通知:

新 WAF 情报源

2022-07-07

3 分钟阅读时间
这篇博文也有 EnglishEspañolРyсскийPolski繁體中文版本。

Cloudflare 将添加四个新的托管 IP 列表以用作任何自定义防火墙规则的一部分,从而扩展我们的 WAF 威胁情报能力。

New WAF intelligence feeds

托管列表由 Cloudflare 创建和维护,并基于通过分析互联网上观察到的模式和趋势所收集的威胁情报源进行构建。Enterprise 客户已经可以使用 Open SOCKS 代理列表(于 2021 年 3 月推出),如今我们将添加四个新的 IP 列表:“VPN”、“僵尸网络、命令和控制服务器”、“恶意软件”以及“匿名程序”。

您可以导航至“管理帐户”→“配置”→“列表”,查看您的计划中有哪些规则可用。

You can check what rules are available in your plan by navigating to Manage Account -> Configuration -> Lists.

客户可以在创建自定义防火墙规则时或在高级速率限制中引用这些列表。例如,您可以选择阻止我们归类为 VPN 的 IP 所生成的所有流量,或对所有匿名程序生成的流量进行速率限制。您可以直接在功能强大的防火墙规则构建器中纳入托管 IP 列表。当然,您还可以使用自己的自定义 IP 列表

托管 IP 列表可以在 WAF 规则中用于管理来自这些 IP 的传入流量。

Managed IP Lists can be used in WAF rules to manage incoming traffic from these IPs.

这些源从何而来?

这些列表基于 Cloudflare 生成的威胁源,它们作为 IP 列表提供,以便轻松在 WAF 中使用。对每个 IP 进行分类的方法是,合并开源数据并分析利用 Cloudflare 网络规模和覆盖范围的每个 IP 的行为。在其中一个源中包含某个 IP 之后,我们验证此分类,将这些信息反馈到我们的安全系统中,并以托管 IP 列表的形式提供给我们的客户。每个列表的内容每天会更新多次。

除了基于 Cloudflare 的内部数据生成 IP 分类之外,Cloudflare 还会精选并组合多个数据源,我们认为这些数据源能够可靠地覆盖有效安全威胁,且误报率很低。在如今的环境中,属于云提供商的某个 IP 可能今天在散布恶意软件,明天就成为您公司的关键资源。

某些 IP 地址分类属于可公开获取的 OSINT 数据(例如,Tor 出口节点),并且 Cloudflare 会负责将其集成到我们的匿名程序列表中,这样您就不用管理如何将此列表集成到您网络中的每个资产。其他分类则利用各种 DNS 技术来确定或审查,例如查找、PTR 记录查找以及观察来自 Cloudflare 网络的被动 DNS。

我们专注于恶意软件以及命令和控制的列表是通过精选合作伙伴关系生成的,我们在选择合作伙伴时针对的一种 IP 地址类型是可识别安全威胁且没有关联 DNS 记录的数据源。

我们的匿名程序列表覆盖执行匿名化的多种服务,包括 VPN、开放代理和 Tor 节点。它是范围更狭窄的 VPN 列表(已知商业 VPN 节点)和 Cloudflare 开放代理列表(无需进行身份验证即可中继流量的代理)的超集。

仪表板内 IP 注释

使用这些列表为这些 IP 部署预防性安全策略固然是好,但要是知道正在与您的网站或应用程序交互的某个 IP 属于僵尸网络或 VPN 的一部分该怎么办?我们在 Security Week 2022 活动中首次针对匿名程序发布了上下文信息,但如今已将该功能扩展至覆盖所有新列表,从而让这件事更加圆满。

作为 Cloudflare 威胁情报源的一部分,我们直接将 IP 类别公开给仪表板。假设您要调查被 WAF 阻止的请求,这些请求企图探测您应用程序的已知软件漏洞。如果这些请求的源 IP 匹配我们的某个源(例如,VPN 的一部分),上下文信息将直接显示在分析页面上。

WAF 事件的源 IP 匹配某个威胁源时,我们会直接在 Cloudflare 仪表板内提供上下文信息。

When the source IP of a WAF event matches one of the threat feeds, we provide contextual information directly onto the Cloudflare dashboard.

此信息可以帮助您看清模式,并决定是否需要使用托管列表来以特定方式处理来自这些 IP 的流量,例如通过创建速率限制规则来减少这些行为者在一段时间内可以执行的请求数。

谁获得这项服务?

下表总结了哪些计划可以访问其中每项功能。任何付费计划都可以访问仪表板内的上下文信息,而 Enterprise 将能够使用不同的托管列表。托管列表只能在 Enterprise 帐户中的 Enterprise 区域使用。

.tg {border-collapse:collapse;border-spacing:0;} .tg td{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-tfgg{background-color:#EFEFEF;color:#F00;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-gpin{background-color:#C9DAF8;text-align:left;vertical-align:top} .tg .tg-ekg0{background-color:#EFEFEF;font-weight:bold;text-align:left;vertical-align:top} .tg .tg-5ll9{background-color:#EFEFEF;color:#009901;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-m0cw{background-color:#C9DAF8;font-weight:bold;text-align:center;vertical-align:top}

FREE PRO BIZ ENT with WAF Essential ENT with WAF Advanced *
Annotations x
Open Proxies x x x
Anonymizers x x x x
VPNs x x x x
Botnets, command and control x x x x
Malware x x x x

FREE

PRO

BIZ

ENT

高级 ENT *

注释

x

开放代理

x

x

x

匿名程序

x

x

x

x

VPN

x

x

x

x

僵尸网络、命令和控制

x

x

x

x

恶意软件

x

x

x

x

* 联系您的客户成功经理以了解如何访问这些列表。

未来发布

我们正在致力于进一步丰富我们的威胁源。未来几个月,我们将提供更多 IP 列表,具体来说,我们会考虑提供云提供商和运营商级网络地址转换 (CG-NAT) 的列表。

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
产品新闻WAFThreat IntelligenceVPNBotnet

在 X 上关注

Cloudflare|@cloudflare

相关帖子

2024年10月24日 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

2024年10月08日 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

2024年9月27日 13:00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot blocking capabilities...

2024年9月26日 13:00

Zero-latency SQLite storage in every Durable Object

Traditional cloud storage is inherently slow because it is accessed over a network and must synchronize many clients. But what if we could instead put your application code deep into the storage layer, such that your code runs where the data is stored? Durable Objects with SQLite do just that. ...