騰訊云防火墻是一款云原生的SaaS化防火墻，為企業(yè)公有云業(yè)務(wù)提供的流量側(cè)安全方案，利用集成的威脅情報(bào)能力、入侵防御能力，保護(hù)企業(yè)公有云資產(chǎn)安全。騰訊云防火墻檢測(cè)由外向內(nèi)、由內(nèi)向外、以及由內(nèi)向內(nèi)三個(gè)方向的網(wǎng)絡(luò)流量?；趯?duì)網(wǎng)絡(luò)流量的應(yīng)用內(nèi)容分析（如SSH、RDP、MySQL、HTTP等），結(jié)合騰訊威脅情報(bào)系統(tǒng)，對(duì)惡意攻擊進(jìn)行檢測(cè)攔截。 

騰訊云防火墻的主要特性

由于公有云網(wǎng)絡(luò)服務(wù)組件的復(fù)雜性、多樣性，這些組件出現(xiàn)安全漏洞的可能性較大，影響也較大，攻擊者利用高危漏洞，可能竊取企業(yè)信息、控制云服務(wù)器挖礦，也能加密云數(shù)據(jù)庫(kù)進(jìn)行勒索攻擊。

由于這些組件漏洞出現(xiàn)較快，企業(yè)來不及修復(fù)漏洞的情況較為常見，騰訊云防火墻使用虛擬補(bǔ)丁機(jī)制進(jìn)行漏洞防護(hù)：由專業(yè)的漏洞分析團(tuán)隊(duì)密切關(guān)注高危漏洞，發(fā)現(xiàn)高危漏洞立刻著手研發(fā)“虛擬補(bǔ)丁”檢測(cè)漏洞POC利用流量，一旦發(fā)現(xiàn)攻擊利用，立刻進(jìn)行攔截。即使這個(gè)時(shí)候云主機(jī)并沒有實(shí)際安裝修復(fù)補(bǔ)丁，也能阻止攻擊后果發(fā)生。

騰訊云防火墻集成了騰訊安全威脅情報(bào)系統(tǒng)，是騰訊20年安全經(jīng)驗(yàn)的積累，也是匯聚騰訊安全7大實(shí)驗(yàn)室集體成果的公共安全服務(wù)平臺(tái)。騰訊云防火墻7*24小時(shí)實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)流量，如果命中威脅情報(bào)數(shù)據(jù)，會(huì)立刻阻止用戶訪問惡意域名或IP。

為應(yīng)對(duì)普遍存在的弱口令風(fēng)險(xiǎn)，騰訊云防火墻支持基于微信驗(yàn)證的遠(yuǎn)程運(yùn)維。企業(yè)管理員可通過云防火墻控制臺(tái)，注冊(cè)運(yùn)維用戶分配登錄權(quán)限，關(guān)閉傳統(tǒng)的帳號(hào)密碼登錄方式，操作員憑借微信二維碼驗(yàn)證登錄，徹底消除攻擊者通過爆破弱口令攻擊的風(fēng)險(xiǎn)。

騰訊云防火墻的應(yīng)用實(shí)例

在某重保客戶應(yīng)用場(chǎng)景，蜜罐系統(tǒng)部署的騰訊云防火墻捕捉到大量疑似攻擊IP對(duì)服務(wù)器進(jìn)行漏洞掃描，騰訊云防火墻虛擬補(bǔ)丁防御規(guī)則檢測(cè)到利用某組件漏洞的攻擊活動(dòng)頻繁，結(jié)合威脅情報(bào)系統(tǒng)定性分析，綜合判定為疑似攻擊者的IP。駐場(chǎng)服務(wù)專家團(tuán)隊(duì)對(duì)客戶部署的云防火墻進(jìn)行檢測(cè)規(guī)則擴(kuò)容優(yōu)化處理，與騰訊天幕（NIPS）聯(lián)動(dòng)，將攻擊IP封禁阻斷，威脅順利解除。

日常運(yùn)維實(shí)踐中，大量網(wǎng)絡(luò)黑產(chǎn)利用服務(wù)器高危組件漏洞和各種弱口令攻擊企業(yè)云服務(wù)器，攻擊得手后控制企業(yè)云主機(jī)組建僵尸網(wǎng)絡(luò)挖礦、竊取企業(yè)核心數(shù)據(jù)，利用被控云主機(jī)攻擊其他計(jì)算機(jī)系統(tǒng)等等。

騰訊云防火墻防御典型挖礦僵尸網(wǎng)絡(luò)模型