云防火墙(Cloud Firewall)帮助您在云上实现业务隔离和防护,确保业务安全且满足合规要求。本文介绍如何更好地使用云防火墙为您的业务提供防护保障。

如何根据业务规划安全域

什么是专有网络VPC(Virtual Private Cloud)

专有网络是您独有的云上私有网络,您可以配置IP地址的范围、路由表和网关等。您也可以在自定义的专有网络使用阿里云资源,例如云服务器、云数据库RDS版和负载均衡等。更多信息,请参见什么是专有网络

每个专有网络都由至少一个私网网段、一个路由器和至少一个交换机组成,如下图所示:1
常见的云上网络架构,如下图所示:2

什么是安全域

基于业务类型、网络规模、业务管理等因素影响,一般企业上云后的安全域处于默认模式,这样就会导致随着业务的发展,业务网络架构变得混乱。例如,开放了不必要的端口发布到互联网、内部通信访问权限太大等。如果业务被恶意入侵,会存在很大的安全隐患。

网络安全域类似酒店,每个不同的入住客人可以入住不同的楼层和房间,互不干扰。在实际的IT业务环境中,数据库服务器与供客户访问的Web服务器显然不是一个安全等级,测试环境的服务器与正式提供服务的生产服务器也不是一个安全等级。因此,我们要对响应的业务资产从业务功能、通信关系等方面划分安全域。

如何设计安全域隔离业务

企业业务一般划分为生产网、开发测试网等不同的网络安全域。

  • 业务分区安全设计
    • 设计原则:可靠、稳定、高效交互。
    • 设计建议:
      • 按业务维度分区:互联网业务、内部系统。
      • 按系统维度分区:生产、开发测试、共享。
      • 跨分区通过云企业网CEN(Cloud Enterprise Network)搭配云防火墙,实现策略管控。
  • 互联网出入安全设计
    • 设计原则:保证灵活性、弹性伸缩能力和安全性。
    • 设计建议:
      • 配置云防火墙管控进出流量(可搭配Web应用防火墙WAF(Web Application Firewall))。
      • 可选:配置统一隔离区DMZ(Demilitarized Zone) VPC或虚拟交换机(vSwitch),搭配弹性公网IP(Elastic IP Address,简称EIP)、负载均衡SLB(Server Load Balancer)、NAT网关(NAT Gateway),提供互联网连接。
  • 云上业务互联安全设计
    • 设计原则:环境隔离,必要的连通同时保证安全。
    • 设计建议:
      • 配置云企业网(CEN),绑定VPC、专线(VBR)、CCN三种网络实例,实现一键接入、全球互联。
      • VPC内配置安全组策略,实现微隔离(可搭配云防火墙,实现策略统一管理)。
针对大型的集团子公司业务:生产网的安全域又会分为集团安全域、子分公司安全域等。集团安全域又划分为生产网外网区、内网区和生产网DMZ区。生产内网的安全域又会根据业务类型不同分为普通业务安全、核心业务安全域、数据库安全域域等。3
针对一般的小型公司企业业务:根据业务类型、功能模块、网络通信关系等维度,划分为普通业务安全、核心业务安全域、数据安全域、DMA安全域(邮件系统、门户网站)等。4

选择适合的云防火墙版本

什么是云防火墙

更多信息,请参见云防火墙简介

如何根据业务选择合适的云防火墙版本

云防火墙分为高级版、企业版和旗舰版三个版本,每个版本支持的功能、资产、带宽扩展规格不同。根据如下表格说明选择合适的版本。高级版防火墙最少购买6个月,企业版和旗舰版可按年按月购买。更多信息,请参见功能特性

防护公网IP数 防护VPC数量 是否需要多账号管控 建议云防火墙版本 核心功能
1~1,000 按量版
  • 入门级防火墙。
  • 提供互联网方向网络安全防御能力。
  • 提供基础网络入侵防御(NIPS)能力。
20~1,000 高级版
50~2,000 2~200 企业版
  • 企业级防火墙,覆盖高级版全部能力。
  • 提供VPC间网络安全防御能力。
  • 安全组统一管理与可视化。
  • 集成云安全中心,提供失陷感知。
400~4,000 5~500 旗舰版
  • 大型企业强烈推荐,覆盖企业版全部能力。
  • 提供独享硬件资源模式。
  • 提供多账号的统一组网的安全管理能力。
纳管其他阿里云账号资产 5~500 旗舰版

云防火墙支持的防护范围

防护范围 说明
云资产或流量
  • 互联网方向:ECS公网IP、SLB EIP、SLB公网IP、HAVIP、EIP、ECS EIP、ENI EIP、NAT EIP。
  • VPC到VPC之间:已使用云企业网或高速通道实现两个VPC之间的互通。
  • VPC和本地数据中心(IDC)之间:已使用VBR实现VPC和IDC之间互通。
说明 由于历史网络架构的原因,部分公网SLB不支持云防火墙引流,推荐您采用私网SLB加EIP的方案,将流量牵引到云防火墙上进行防护。
云网络类型
  • VPC网络:全面支持阿里云VPC网络。
  • 经典网络:互联网边界防火墙和威胁入侵检测(IPS)功能支持防护经典网络。主机边界防火墙支持防护VPC间的流量,不支持防护经典网络。
地域 支持的地域
协议
  • IPv4:支持IPv4流量转发和防护。
  • IPv6:支持IPv6流量转发,不支持IPv6防护。
加密协议流量 不支持防护IPSec、SSL VPN流量。

使用限制

互联网边界防火墙使用限制

限制项 说明 处理建议
地域 支持的地域 未支持地域开服时间需留意官网公告。
带宽限制 互联网边界防火墙防护带宽:
  • 高级版默认10 Mbps,最高扩容至2,000 Mbps。
  • 企业版默认50 Mbps,最高扩容至5,000 Mbps。
  • 旗舰版默认200 Mbps,最高扩容至5,000 Mbps。
根据实际业务需求确认购买量。
防护配额 互联网边界防火墙防护公网IP数:
  • 高级版默认20个,最高扩容至1,000个。
  • 企业版默认50个,最高扩容至2,000个。
  • 旗舰版默认400个,最高扩容至4,000个。
根据实际业务需求确认购买量。

访问控制配置限制

限制项 说明 处理建议
授权规格数 不同版本的授权规格数上限如下,如超过则不能配置:
  • 高级版:4,000条
  • 企业版:10,000条
  • 旗舰版:20,000条
  • 联系云防火墙技术人员优化策略。
  • 联系云防火墙技术人员申请扩容,扩容上限为原来上限的两倍。
地址薄 地址薄中地址数量不能超过1000条。 新建地址薄。

安全正向代理使用限制

限制项 说明 处理建议
地域 支持的地域 未支持地域开服时间需留意官网公告。
特殊地域 华东1(杭州)、华南1(深圳)、华北2(北京)地域需要加入白名单。 联系云防火墙技术人员加入白名单。
DNAT 如果NAT中存在DNAT条目,则不支持开启安全正向代理。 删除DNAT条目。
高级特性 待开启VPC需要支持高级特性,才能开启安全正向代理。 删除或升级VPC中不支持高级特性的实例。更多信息,请参见VPC高级功能
ENI NAT网关中的ENI数量不能超过5个。 如需要更多ENI数量,联系云防火墙技术人员加入白名单。

VPC边界防火墙使用限制

限制项 说明 处理建议
支持防护数 VPC边界防火墙支持防护个数:
  • 高级版:不支持VPC边界防火墙。
  • 企业版:默认2个,最高扩容至200个。
  • 旗舰版:默认5个,最高扩容之500个。
根据实际业务需求确认购买量。
可防护VPC间最大带宽 VPC边界防火墙可防护最大流量:
  • 高级版:不支持VPC边界防火墙。
  • 企业版:最高支持100 Mbps。
  • 旗舰版:最高支持1 Gbps。
如需扩容请联系云防火墙技术人员。
通用VPC数 每个地域最多支持19个VPC实例和1个VPC边界防火墙(即VPC边界防火墙会占用1个配额)。

开启VPC边界防火墙后,每个地域会自动新增一个VPC(即您在专有网络管理控制台的专有网络页面,查看到的实例名称为Cloud_Firewall_VPC的新增VPC)。VPC配额不足的情况下,您将无法开启VPC边界防火墙。

如果配额已满,您需要前往专有网络管理控制台的配额管理页面修改VPC配额的上限。
说明 如果VPC配额上限已无法修改,请咨询云防火墙钉钉群技术人员。
跨账号VPC未授权 在云企业网中存在跨账号开通的VPC时,如果跨账号开通的VPC未获得云防火墙的授权或您的云防火墙版本不是旗舰版,您将无法创建VPC边界防火墙。 您需要用对应账号登录云防火墙完成授权后,再开启VPC边界防火墙。

关于授权的操作,请参见授权云防火墙访问云资源

地域 云企业网中的VPC所在的地域都是VPC边界防火墙支持的地域,否则会导致无法为该云企业网开启VPC边界防火墙。 更多信息,请参见支持的地域
公网私用 如果您是在2021年05月01日之前开通了VPC边界防火墙,并且您的网络拓扑中存在公网私用的地址段,开启VPC边界防火墙后,您的服务器对SLB和RDS的访问将会中断。 建议按标准规划您的网络,避免出现公网私用的情况。
说明 2021年05月01日及之后开通VPC边界防火墙的用户无此限制。
CEN发布路由数 云企业网中发布的路由数最大为100。 建议您减少发布的路由数,并将路由数减少到100条以内。如有需要,请联系云防火墙钉群技术人员。
VPC路由数 开启VPC边界防火墙会为用户添加自定义路由。由于每个用户VPC路由表中自定义路由的数量存在限制,超过数量限制则无法再为您开启VPC边界防火墙。VPC实例自定义路由的最大数量为400。 增加VPC的配额。您可以前往专有网络管理控制台的配额管理页面,修改当前账号下VPC路由表的自定义路由配额。
VPC存在自定义路由表 在云企业网中开启VPC边界防火墙时,如果VPC中存在自定义路由表且绑定了vSwitch,不支持开通VPC边界防火墙。 您可以删除相关的自定义路由表或vSwitch解除绑定自定义路由表。
非VPC互访流量 以下非VPC间互访流量不经过云防火墙,因此无法受到云防火墙的防护:VBR间的互访流量CCN间的互访流量VBR与CCN间的互访流量。 如果您需要进一步咨询,请联系云防火墙技术人员。
SLB和RDS SLB和RDS等云服务在开启或关闭VPC边界防火墙过程中,会出现长连接失效问题。 在开启或关闭VPC边界防火墙的过程前,暂时设置SLB的健康检查为本VPC后端,避免健康检查抖动。在客户端增加连接保活以及重连机制。
VPC总数限制 已开启VPC边界防火墙的VPC数量和地域数量的总和不能超过32个(未开启VPC边界防火墙不影响)。 无。
CEN内VPC数量限制 在云企业网中开启VPC边界防火墙时,支持添加的网络实例数量为15个。 建议您使用云企业网转发路由器。相关信息,请咨询云防火墙钉钉群技术人员。
Routemap限制 为云企业网创建VPC边界防火墙时,该云企业网中不能存在策略行为设置为拒绝类型的路由策略(系统默认生产的优先级为5000拒绝类型路由策略除外),否则将会导致业务中断。 建议您删除相关路由策略,或咨询云防火墙钉钉群技术人员。
转发路由器网络实例限制 在云企业网中开启VPC边界防火墙时,转发路由器支持添加的网络实例(包含VPC、VBR和CCN)在每个地域数量最多为100个。此限制存在于企业版转发路由器。 无。
说明 转发路由器支持添加的VPC中,包含了开启VPC边界防火墙时自动新增的VPC(即您在专有网络管理控制台的专有网络页面,查看到的实例名称为Cloud_Firewall_VPC的新增VPC)。
手动模式将VPC加入白名单 转发路由器存在如下限制:
  • 如果已创建的VPC边界防火墙使用的是自动模式,创建VPC边界防火墙后,需要联系云防火墙技术人员服务人员将自动新增的VPC(名称为Cloud_Firewall_VPC)加入白名单之后,才能开启VPC边界防火墙。
  • 如果已创建的VPC边界防火墙使用的是手动模式,需要联系云防火墙技术人员将该VPC加入白名单之后,才能开启VPC边界防火墙。此限制存在于企业版转发路由器。
如果您需要将VPC加入白名单,请联系钉钉群技术人员。
非VPC互访 在高速通道中开启VPC边界防火墙,不支持防护VPC跨地域、跨账号及VPC与VBR间的互访流量。此限制存在于高速通道场景下。 如果需要防护VPC跨地域、跨账号或VPC与VBR间的互访流量,建议您改为组云企业网组网。相关信息,请咨询产品钉钉群技术人员。
自定义路由表条数限制 开启VPC边界防火墙会为用户添加自定义路由。由于每个用户VPC路由表中自定义路由的数量存在限制,超过数量限制则无法再为您开启VPC边界防火墙。

VPC实例自定义路由的最大数量为400。此限制存在于高速通道场景下。

增加VPC的配额。您可以前往专有网络管理控制台的配额管理页面,修改当前账号下VPC路由表的自定义路由配额。
32位网段路由限制 在高速通道中不支持32位网段的路由。

如果有32位网段的路由,开启VPC边界防火墙后,会导致对此网段的网络访问中断。此限制存在于高速通道场景下。

建议您先将网段掩码长度修改为小于等于30后,再开启VPC边界防火墙,或者联系产品钉钉群技术人员。

最佳防护策略

功能模块 子类 默认状态 是否要调整
防火墙开关 互联网边界(双向) 在配额范围内全开启。 不调整,如果配额不够导致没有全开启需要添加配额。
VPC边界 未创建、未开启。 需要手动创建并开启。
IPS防护 互联网边界 默认拦截-宽松或者拦截-中等模式,根据业务自动选择。 不建议调整,默认配置即可。
VPC边界 创建VPC边界防火墙时设置拦截模式,开启VPC边界防火墙时自动开启。
NAT防火墙 安全正向代理 需要手动创建。
NAT防火墙 需要手动创建。
访问控制 互联网边界 放行所有流量。 根据业务配置。
VPC边界 开启VPC边界防火墙后手动配置。
告警通知 告警通知 开启但需要配置收件人。 需要配置收件人。
DNS防火墙 DNS防火墙 需要手动创建。
统一账号管理 统一账号管理 需要手动创建。

开启云防火墙

开启防火墙服务后,云防火墙不会限制业务访问流量,超过公网防护带宽的流量不会被防护,会被默认放行。具体操作,请参见开启防火墙

防护外对内的资产

  • 互联网边界防火墙访问控制策略

    外网到内网的互联网边界访问控制策略管控用户访问云上服务入方向的流量,一般建议先配置放行访问云上服务的策略,然后再配置拒绝所有来源、协议、端口和应用的策略。可实现对可信流量放行,对其他可疑流量或恶意流量进行拒绝的访问控制,将外网风险管理做到有放有控。

    配置互联网边界防火墙策略前,请您确认互联网边界防火墙开关已开启,否则策略将不生效。

    您需要先创建一条外对内的访问控制策略,先对可信的外部源IP放行,将优先级设置为最前。然后创建第二条外对内的访问控制策略,拒绝其它所有访问源去访问内部网络,将优先级设置为最后。若访问源、目的源、端口有多个,可使用地址簿或创建多条访问控制策略。具体操作,请参见互联网边界防火墙(内外双向流量)配置外到内流量只允许访问某个端口的访问控制策略

  • 流量监测

    互联网访问页面展示云上开放的服务、端口、公网IP地址和云产品信息,结合开放公网IP信息和推荐的智能策略可加强外对内访问控制策略安全水位。

  • 入侵监测和防护

    云防火墙内置了威胁检测引擎(IPS),可对互联网上的恶意流量入侵活动和常规攻击行为实时阻断和拦截,一般针对木马后门等恶意文件、攻击payload请求行为进行检测和防护,并提供精准的威胁检测虚拟补丁,智能阻断入侵风险。其检测的运行原理包括利用威胁情报、入侵检测规则、智能模型算法识别、虚拟补丁的方式多方位进行检测。

    在开启该功能时,我们建议您优先开启观察模式,通过试运行一段时间,分析数据误拦截情况后,再开启防护拦截模式功能。更多信息,请参见防护配置

  • 漏洞防护

    云防火墙可针对被网络侧攻击利用的漏洞提供攻击防御能力,漏洞信息是由云安全中心漏洞检测功能自动检测并同步到云防火墙,需将威胁引擎运行模式设置为拦截模式-中等。该模式根据数据分析,一般不会对业务产生误拦截现象。

    漏洞防护对云资产相关的漏洞使用虚拟补丁规则防御,对于恶意攻击或使用工具攻击漏洞的流量会被防御拦截。更多信息,请参见漏洞防护

防护内对外的资产

  • 互联网边界访问控制策略

    内网到外网的互联网边界访问控制策略管控云上资产访问互联网出方向的流量,一般建议先配置放行访问互联网的策略,然后再配置拒绝所有云上资产访问互联网服务的策略,可实现放行部分云资产需要访问互联网的流量,拒绝全部云上资产流量出网的访问控制,将外联风险做到有放有控。

    配置互联网边界防火墙策略前,请您确认互联网边界防火墙开关已开启,否则策略将不生效。

    您需要先创建一条内对外的访问控制策略,先对可信的外部源IP放行,将优先级设置为最前。然后创建第二条内对外的访问控制策略,拒绝其它所有访问源去访问外部互联网,将优先级设置为最后。若访问源、目的源、端口有多个,可使用地址簿或创建多条访问控制策略。具体操作,请参见互联网边界防火墙(内外双向流量)配置外到内流量只允许访问某个端口的访问控制策略

  • 流量监测

    主动外联活动页面展示云上资产外联域名、外联IP信息,结合情报标签和访问详情及日志,可对内对外访问控制策略查漏补缺。

  • 入侵监测和防护

    购买云防火墙服务后,默认开启对有公网IP的云资产的保护,威胁检测运行模式默认为拦截模式-中等,对于新购买的云防火墙客户,建议更改为观察模式。观察模式可对恶意流量进行监控并告警,使用云防火墙2周或1个月后,分析观察业务数据正常后可将观察模式调整为拦截模式加强安全防护水位。

防护内对内的资产

  • VPC边界访问控制策略

    内网到内网的互联网边界访问控制策略管控两个VPC间的通信流量,一般建议先配置放行可信IP访问VPC的策略,然后再配置拒绝其他地址访问VPC的策略,具体详细的配置过程详见下图:

    VPC边界防火墙可用于检测和控制两个VPC间的通信流量,VPC边界防火墙开启后默认放行所有流量。

    您需要先创建一条VPC边界防火墙放行策略,先放行可信流量,将优先级设置为最前。然后创建第二条VPC边界防火墙放拒绝策略,拒绝其它所有访问源去访问内部网络,将优先级设置为最后。具体操作,请参见VPC边界防火墙

  • 主机边界访问控制策略(ECS实例间)

    主机边界防火墙可以对ECS实例间的入流量和出流量访问控制,实现颗粒度更小的ECS实例间的未授权访问。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。

    一般建议先配置放行访问云上服务的策略,然后再配置拒绝所有来源、协议、端口和应用的策略。

    策略组分为普通策略组和企业策略组,如果您的ECS数量较少,您可以使用普通策略组,即当前的ECS安全组,如果ECS实例多,建议使用企业策略组,相比原有的普通策略组,大幅提升了组内容纳实例数量,不再限制组内私网IP数量,规则配置方式更加简洁便于维护,适用于对整体规模和运维效率有较高需求的企业级用户。

  • 流量监控

    VPC访问活动展示VPC与VPC之间的流量趋势、会话、开发端口等,可查看和排查异常流量,为VPC访问控制策略加固防护。

  • 入侵监测和防护

    开启开关,则云企业网到已配置的目标网段的流量会牵引到云防火墙。

    开启开关,并配置了VPC边界防火墙访问控制策略或开启了入侵防御拦截模式后,流量才会受到云防火墙的防护。VPC边界防火墙基础规则和虚拟补丁入侵防御策略。

数据分析

通过日志服务分析异常原因

网络不通问题排查:在确认云资产开启云防火墙保护后,流量日志中使用源IP和目的IP条件筛选,查看日志的动作列为丢弃确定防火墙拦截。更多信息,请参见概述

常见问题分析案例

客户配置访问控制策略禁止公网访问某台ECS,但是测试从公网测试仍可以访问,收集ECS IP信息,在互联网流量日志中筛选目的IP为ECS的IP,查看日志匹配的策略及动作是否为丢弃。若为否,需再确认客户配置的策略是否有命中数,确认策略优先级问题。

收集ECS IP信息,日志设置筛选条件为目的IP(ECS公网IP)、流量方向(入方向)、 时间(测试时间范围);如果日志匹配的策略动作为放行,查看匹配对应的规则名(为防火墙默认放行);为匹配中云防火墙默认放行策略;如果日志匹配的策略动作为丢弃,表示云防火墙匹配到流量,查看访问控制策略是否有命中次数,确认优先级问题。

将云防火墙流量日志导入第三方系统

云防火墙高级版、企业版和旗舰版与阿里云日志服务(SLS)已打通,开通日志分析功能云防火墙日志会自动投递到SLS中,云防火墙对应的project名为cloudfirewall-project-UID-cn-Region。

监控及报告

配置监控告警消息推送

云防火墙提供以下通知:

  • 流量异常通知:当经过云防火墙的峰值流量超过您已购买的公网流量处理能力时,会发送该通知。
  • 周报:云防火墙在您设置好的通知时间,发送周报内容至您设置的邮箱。
  • 失陷主机通知:当云防火墙检测到有主机失陷时,会发送该告警。为确保通知的准确性,部分通知可能会延迟一天发出。
  • 异常外联通知:当云防火墙检测到有主机外联风险IP或者域名时,会发送该通知。
  • 漏洞实时防护通知:当云防火墙发现您资产存在的漏洞被利用发起攻击时,会发送该通知。
  • 资产保护通知:当云防火墙检测到您的公网IP资产或VPC资产未开启保护,会发送该通知。
  • 入侵防护通知:当云防火墙检测到您的入侵防御拦截模式未开启,导致无法自动拦截攻击时,会发送该通知。
  • 新增公网资产通知:当云防火墙检测到您有新增公网资产时,会发送该通知,提醒您为新增资产开启保护。
  • 智能策略推荐通知:云防火墙通过自动化流量学习,为您推荐智能访问控制策略。

配置监控告警通知有利于运维人员第一时间掌握业务安全异常,云防火墙默认支持通过邮件和短信向阿里云账号联系人发送云防火墙相关通知,最多可以添加10个云防火墙通知联系人。

配置安全报告

如果您需要周期性的安全报告,云防火墙支持以邮件方式发送周报通知,总结Web资产的安全防护数据、防火墙开启状态、漏洞分析及安全策略数据等信息,帮助了解资产整体安全态势。您可以前往云防火墙控制台周报功能模块设置,更多信息,请参见云防火墙周报

故障应急

如果您发现因产品或防护规则导致业务存在异常,可以按照以下方法处理:

问题类别 处理方式
产品故障 建议您关闭目标资产的保护开关。具体操作,请参见互联网边界防火墙
访问控制误拦截 建议您配置访问控制放行策略。更多信息,请参见访问控制策略总览

威胁情报相关的拦截策略,需在访问控制中添加白名单。

威胁检测引擎误拦截 配置威胁检测引擎拦截模式为观察模式。具体操作,请参见防护配置
VPC间流量不通
  • 提交工单或钉钉群内联系云防火墙技术人员,提供源目IP地址以及所在的网络实例信息。
  • 如果情况紧急,bypass VPC边界防火墙存在以下两种情况:

安全专家服务

购买开通云防火墙服务后,您可以在管理控制台中通过钉钉扫描二维码直接联系阿里云安全服务专家。安全专家将针对您的业务场景提供云防火墙配置指导、安全攻击分析和防御相关安全服务,基于业务实际情况帮助您更好地使用云防火墙对业务进行安全防护,保障您业务的网络应用安全。