Turning Cloudflare’s threat indicators into real-time WAF rules
TL;DR · AI 摘要
Cloudflare 将威胁情报实时集成到 WAF 规则中,实现自动化防护,提升安全响应效率。
核心要点
- Cloudflare 新增功能可将威胁情报实时转换为 WAF 规则,实现自动化防护。
- 该功能支持基于威胁行为人名称、行业或国家过滤、攻击类型等条件进行实时检测。
- 该功能基于始终开启的检测框架,消除传统日志与阻断之间的权衡。
结构提纲
按章节快速跳转。
- §引言
Cloudflare 的威胁情报平台提供了实时的全球威胁洞察,但过去需要手动配置规则进行防护。
Cloudflare 推出新功能,将威胁情报直接集成到 WAF 规则中,实现自动化防护。
通过填充请求早期的专用字段,WAF 可基于威胁行为人、攻击类型等条件进行筛选。
该功能基于始终开启的检测框架,消除传统日志与阻断之间的权衡。
该功能执行延迟极低,未来将扩展到 JA3 指纹和基于域名的匹配。
思维导图
用一张图看清主题之间的关系。
查看大纲文本(无障碍 / 无 JS 友好)
- Cloudflare 实时威胁情报集成
- 新功能
- 自动化防护
- 实时检测机制
- 基于威胁行为人、攻击类型等条件
- 始终开启的检测框架
- 消除日志与阻断的权衡
- 高性能低延迟
- 未来扩展
- JA3 指纹匹配
- 基于域名的匹配
金句 / Highlights
值得收藏与分享的关键句。
Cloudflare 推出新功能,将威胁情报直接集成到 WAF 规则中,实现自动化防护。
该功能支持基于威胁行为人名称、行业或国家过滤、攻击类型等条件进行实时检测。
该功能基于始终开启的检测框架,消除传统日志与阻断之间的权衡。
将 Cloudflare 的威胁指标转化为实时 WAF 规则
2026-06-08
- Alexandra Moraru
- Harsh Saxena
- Georgie Yoxall
- Brian Seel
5 分钟阅读
Cloudflare 的威胁事件为安全分析师提供了一个窗口,让他们了解全球的威胁态势。该平台展示了 Cloudflare 每天处理的大量流量,因此你可以实时看到哪些 IP 正在攻击特定行业,或者哪些威胁行为者在全球范围内正变得流行。然而,将这种可见性转化为主动缓解措施通常是一个手动且反应性的过程。
安全团队一直面临一个反复出现的困扰:他们知道某些 IP 地址与特定的威胁行为者(如 Tycoon 2FA 或 RaccoonO365)相关,或者在其他地区已被看到针对他们特定的行业,但他们无法轻松地在自己的 WAF 中自动阻止这些高风险 IP,除非他们手动配置规则。
我们很兴奋地宣布一项新的集成功能,将 Cloudflare 庞大的威胁情报直接引入您的 WAF 引擎:您现在可以使用实时情报数据编写主动规则。这意味着您可以在攻击者甚至尝试接触您的基础设施之前,通过添加更多的情报上下文来保护您的应用程序免受已知的恶意行为者攻击。
通过在请求早期阶段填充专门的字段,WAF 现在可以根据以下内容筛选流量:
- 通过匹配特定的威胁行为者名称来识别攻击者是谁
- 通过行业或国家过滤器查看 IP 过去针对的目标是谁
- 通过丰富的威胁上下文识别攻击类型,并根据攻击类型(如 DDoS、WAF、网络犯罪等)和最后一次看到的时间范围进行过滤
持续检测
这一新功能是基于我们最近为攻击签名检测引入的持续检测框架构建的,这是一个系统,可以实时识别常见的攻击模式,而无需预先配置的规则。通过将检测与缓解措施分离,我们确保威胁情报在后台持续运行,在您决定采取行动之前,用有洞察力的威胁元数据丰富您的 HTTP 请求分析。
“持续运行”模型的主要优势是消除了传统的“日志模式 vs. 阻止模式”的权衡:日志模式下的可见性,或阻止模式下的保护。这是因为当一个规则阻止请求时,您将失去了解其他签名如何评估该请求的可见性——这些信息可能有助于您加强防御。
如果您拥有 Cloudforce One 订阅,这些洞察将自动显示在您的分析中。您可以查看哪些威胁行为者正在攻击您的网站,以及这些 IP 通常针对哪些行业,从而在“切换开关”阻止之前验证流量模式。
这些检测以可忽略的延迟执行,确保您的性能保持闪电般快速,同时提供构建强大安全策略所需的高置信度数据。虽然此次发布主要关注基于 IP 的匹配,但我们已经在考虑将这些功能扩展到 JA3 指纹和基于域名的匹配。这将使您即使在攻击者轮换 IP 时也能阻止恶意流量,通过识别他们有效载荷中使用的独特软件签名或恶意目标链接。
cf.intel.ip.attacker_names
已知威胁组织的名称(例如,CRAVENFLEA)。
cf.intel.ip.target_industries
该IP针对的行业(例如,加密货币、汽车)。
cf.intel.ip.attacker_countries
威胁事件的来源国家。
cf.intel.ip.target_countries
威胁事件针对的国家。
cf.intel.ip.datasets
提供数据的源数据流(例如,ddos、waf)。
示例规则表达式
由于一个IP地址可能同时与多个威胁行为者或目标行业相关联,这些字段以数组形式表示。我们使用any()函数和[*]通配符来检查威胁配置文件中的任何值是否符合您的标准:
- 阻止针对您所在地区的已知DDoS参与者:any(cf.intel.ip.target_countries[*] == "FR") and any(cf.intel.ip.datasets[*] == "ddos")
- 防御针对金融行业的特定威胁行为者:any(cf.intel.ip.target_industries[*] == "Banking & Financial Services") and any(cf.intel.ip.attacker_names[*] == "BLACKBASTA")
- 针对特定高风险来源国家的广泛防护:any(cf.intel.ip.attacker_countries[*] == "IR")
如何在工作流中使用威胁事件数据
无论您更喜欢基于UI的方法还是基础设施即代码(IaC),这些字段都已集成到您现有的工作流中。
WAF规则构建器(API & Terraform)
对于更倾向于基础设施即代码的团队,新的cf.intel字段已完全集成到WAF规则构建器中,用于构建自定义WAF规则和速率限制。您可以使用与今天相同的语法编写复杂的表达式。由于这些是标准的WAF字段,它们通过Cloudflare API和Terraform得到完全支持,使您能够自动化在所选域甚至整个账户上阻止威胁。
WAF规则构建器中新增了字段,使用户可以根据威胁事件指标选择相关配置。
安全分析中的可见性
部署只是成功的一半。所有由这些威胁情报字段触发的匹配都会记录在安全分析中。您可以深入查看流量,以查看具体是哪条规则被触发以及哪个特定指标匹配。这些增强的日志可以在规则触发时加快审计和事后分析。
威胁事件匹配会在安全分析中显示,包含完整上下文,并提供一键创建自定义安全规则的选项。
从威胁事件仪表板一键创建规则
如果您已经在使用威胁情报仪表板来调查趋势,您不需要复制和粘贴IP列表。您可以根据特定的筛选条件创建“保存视图”,例如“过去七天内攻击金融行业的IP”。只需单击一次,您就可以将这些筛选条件直接导出为WAF规则。
“保存视图”现在允许用户轻松创建与保存视图配置匹配的WAF规则。
我们网络中的全球情报
只有在底层引擎足够快速的情况下,才能实现可见性和易用性。我们如何在不减慢流量的情况下处理数百万个威胁指标?
这些威胁情报数据集被压缩为高性能格式,并分发到全球每一个 Cloudflare 数据中心。当请求到达我们的网络时,Cloudflare WAF 会对这些本地数据集执行 O(1) 常数时间查找。这确保了无论我们检查的是十个指标还是十万个指标,延迟开销都几乎为零(以微秒为单位进行测量)。
由于一个 IP 地址可能与多个威胁向量相关联,我们的引擎不会在第一次匹配后停止。它会同时评估与该 IP 地址相关联的所有信号。这确保了寻找“攻击者 = 俄罗斯”且“目标行业 = 银行业”的规则能够在单次遍历中正确触发,通过评估这些属性的交集,从而在不增加计算复杂性的情况下,最大程度地覆盖多向量攻击者。
准备开始了吗?
今天,所有拥有有效 Cloudforce One 订阅的客户都可以使用此功能:
- Cloudforce One Essentials 允许客户访问 Threat Events 中的默认数据集,搜索指标,并进行威胁狩猎调查
- Cloudforce One Advantage 允许客户通过信息请求访问我们的威胁情报分析师定制见解
- Cloudforce One Elite —— 我们最完整的套餐 —— 包括品牌保护、大量信息请求以及访问所有 Threat Events 数据集的权限
准备好将全球洞察转化为本地防御了吗?前往 Threat Events 或 Cloudflare 仪表板的 WAF 部分,开始创建您的第一个威胁情报规则,或联系您的账户团队,了解有关订阅 Cloudforce One 的更多信息。
[if astro]>server-island-start<![endif]
安全
WAF
威胁情报
Cloudforce One
产品新闻