訂閱以接收新文章的通知:

全新 WAF 情報摘要

2022-07-07

閱讀時間:3 分鐘
本貼文還提供以下語言版本:EnglishEspañolРyсскийPolski简体中文

Cloudflare 透過新增四個新的受管理 IP 清單用作任何自訂防火牆規則的一部分,來擴展 WAF 的威脅情報功能。

New WAF intelligence feeds

這些受管理清單由 Cloudflare 建立並維護,並根據透過分析網際網路上觀察到的模式和趨勢所收集的威脅情報摘要進行建置。企業客戶已經可以使用 Open SOCKS Proxy 清單(於 2021 年 3 月推出),如今我們新增了四個全新的 IP 清單︰「VPN」、「殭屍網路、命令與控制伺服器」、「惡意軟體」和「匿名程式」。

您可以導覽至管理帳戶 → 組態 → 清單,來檢閱您的服務方案中可用的規則。

You can check what rules are available in your plan by navigating to Manage Account -> Configuration -> Lists.

客戶可以在建立自訂防火牆規則時或在進階限速中參考這些清單。例如,您可以選擇對我們歸類為 VPN 的 IP 所產生的全部流量進行封鎖,或者對所有匿名程式產生的流量進行限速。您只需在強大的防火牆規則建置器中整合這些受管理 IP 清單即可。當然,您也可以使用自己的自訂 IP 清單

受管理 IP 清單可在 WAF 規則中使用,以管理來自這些 IP 的傳入流量。

Managed IP Lists can be used in WAF rules to manage incoming traffic from these IPs.

這些摘要來自哪裡?

這些清單以 Cloudflare 產生的威脅摘要為基礎,作為 IP 清單提供,以便在 WAF 中輕鬆使用。透過結合開放原始碼資料,以及運用 Cloudflare 網路的規模和覆蓋範圍分析每個 IP 的行為,可對每個 IP 進行分類。當其中一個摘要中包含某個 IP 後,我們會驗證其分類並將此資訊饋送至我們的安全系統中,然後以受管理 IP 清單的形式提供給我們的客戶。每個清單的內容每天都會更新多次。

除了基於 Cloudflare 的內部資料產生 IP 分類外,Cloudflare 還會策管並組合多個資料來源,我們認為這些資料來源能夠以較低的誤判率,可靠地覆蓋主動安全威脅。在當今的環境中,屬於雲端提供者的 IP 今天可能在分發惡意軟體,但明天可能會是您公司的關鍵資源。

某些 IP 位址分類是公開可用的,例如 OSINT 資料(如 Tor 結束節點),Cloudflare 負責將其整合至我們的匿名程式清單中,這樣您就不必設法將此清單整合至網路中的每個資產。其他分類則使用各種 DNS 技術來確定或審查,例如查詢、PTR 記錄查詢,以及觀察來自 Cloudflare 網路的被動 DNS。

我們著重於惡意軟體以及命令與控制的清單由經策管的合作夥伴產生,當我們選擇合作夥伴時,我們的其中一種目標 IP 位址就是能夠識別沒有 DNS 記錄與之關聯的安全威脅的資料來源。

我們的匿名程式清單包含多種執行匿名化的服務,包括 VPN、開放式 Proxy 和 Tor 節點。它是范圍更窄的 VPN 清單(已知的商業 VPN 節點)和 Cloudflare 開放式 Proxy 清單(轉送流量而不需要驗證的 Proxy)的超集。

儀表板中的 IP 註釋

使用這些清單針對這些 IP 部署預防性安全政策非常不錯,但是,如果能夠知道與您的網站或應用程式互動的 IP 是否為殭屍網路或 VPN 的一部分,是不是更好?作為 2022 年 Security Week 的一部分,我們首先針對匿名程式發佈了內容相關資訊,但我們現在透過擴展此功能,涵蓋所有新清單來完成這一系列。

作為 Cloudflare 威脅情報摘要的一部分,我們將 IP 類別直接公開到儀表板中。假設您正在調查被 WAF 封鎖的請求,並且這些請求看起來是在探查您的應用程式是否存在已知軟體漏洞。如果這些請求的來源 IP 與我們的某個摘要(例如 VPN 的一部分)相符,則內容相關資訊將直接顯示在分析頁面上。

當 WAF 事件的來源 IP 與其中一個威脅摘要相符時,我們會直接在 Cloudflare 儀表板上提供內容相關資訊。

When the source IP of a WAF event matches one of the threat feeds, we provide contextual information directly onto the Cloudflare dashboard.

此資訊可協助您查看模式,並決定是否需要使用受管理清單,以特定方式來處理來自這些 IP 的流量,例如透過建立限速規則,來減少這些執行者在一段時間內可以執行的請求數量。

誰能獲得此功能?

下表總結了各服務方案對這些功能的存取情況。任何付費方案都可以存取內容相關資訊,而 Enterprise 方案將能夠使用不同的受管理清單。受管理清單只能在 Enterprise 帳戶中的 Enterprise 區域使用。

.tg {border-collapse:collapse;border-spacing:0;} .tg td{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-tfgg{background-color:#EFEFEF;color:#F00;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-gpin{background-color:#C9DAF8;text-align:left;vertical-align:top} .tg .tg-ekg0{background-color:#EFEFEF;font-weight:bold;text-align:left;vertical-align:top} .tg .tg-5ll9{background-color:#EFEFEF;color:#009901;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-m0cw{background-color:#C9DAF8;font-weight:bold;text-align:center;vertical-align:top}

FREE PRO BIZ ENT with WAF Essential ENT with WAF Advanced *
Annotations x
Open Proxies x x x
Anonymizers x x x x
VPNs x x x x
Botnets, command and control x x x x
Malware x x x x

FREE

PRO

BIZ

ENT

進階 ENT *

注釋

x

開放式 Proxy

x

x

x

匿名程式

x

x

x

x

VPN

x

x

x

x

殭屍網路、命令與控制

x

x

x

x

惡意程式碼

x

x

x

x

* 請聯絡您的 Customer Success 經理,瞭解如何存取這些清單。

未來發佈

我們正致力於進一步豐富我們的威脅摘要。在接下來的幾個月中,我們將提供更多 IP 清單,特別指出的是,我們正在研究雲端提供者和營運商級網路位址轉換 (CG-NAT) 的清單。

我們保護整個企業網路,協助客戶有效地建置網際網路規模的應用程式,加速任何網站或網際網路應用程式抵禦 DDoS 攻擊,阻止駭客入侵,並且可以協助您實現 Zero Trust

從任何裝置造訪 1.1.1.1,即可開始使用我們的免費應用程式,讓您的網際網路更快速、更安全。

若要進一步瞭解我們協助打造更好的網際網路的使命,請從這裡開始。如果您正在尋找新的職業方向,請查看我們的職缺
產品新聞WAFThreat IntelligenceVPNBotnet

在 X 上進行關注

Cloudflare|@cloudflare

相關貼文

2024年10月24日 下午1:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

2024年10月08日 下午1:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

2024年9月27日 下午1:00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot blocking capabilities...

2024年9月26日 下午1:00

Making Workers AI faster and more efficient: Performance optimization with KV cache compression and speculative decoding

With a new generation of data center accelerator hardware and using optimization techniques such as KV cache compression and speculative decoding, we’ve made large language model (LLM) inference lightning-fast on the Cloudflare Workers AI platform....