问题 1: 云防火墙的作用是什么?

云防火墙是基于业务可视化的基础,帮助您对业务进行梳理,实现东西向的微隔离,保障业务的有序性。

云防火墙通过流量学习,可以自动呈现一张由服务器组成的网络拓扑,可以直观地看见服务器的信息(包括实例名称、IP地址、进程、监听端口等)和服务器之间的流量。同时,您可以自由调整拓扑图的结构,以便更加贴近自身的业务。在云防火墙拓扑图中,您可以通过单击流量线条轻松完成隔离策略的部署。

同时,基于可视化的拓扑图,您可以随时查看服务器的各种状态及服务器之间的流量信息,为您的日常运维工作提供帮助。

问题 2: 什么是微隔离?

微隔离这一概念最早是由Gartner公司提出的,用于描述东西向流量的安全访问控制。有别于传统办公网的安全访问控制,微隔离的对象是虚拟机和应用。

问题 3: 什么是业务可视化?

业务可视化是指基于服务器信息、连接和应用信息,形成的“节点 + 访问关系”的流量拓扑图。通过该拓扑图,您可以清晰的甄别合法访问和非法访问,从而执行微隔离策略。

问题 4: 云防火墙和安全组的区别?

  • 云防火墙可以根据机器学习结果,自动将安全域进行分组;而安全组完全依赖于您静态的手动划分。
  • 云防火墙在访问控制策略生效之前,存在大量的模拟过程,可以帮助您保障策略的正确性;而安全组中规则在配置之后即刻生效,一旦访问规则配置错误可能直接导致业务中断。

  • 在云防火墙中您可以监控高危端口的访问情况。例如,查看3306端口是否有来自外部(互联网)流量的访问。

  • 云防火墙还可以帮助您进行服务器变更前的确认。例如,某个服务器需要下线时,您可以通过云防火墙查看该服务器是否仍有访问流量,从而判断服务器下线是否影响业务。

问题 5: 云防火墙和一般防火墙的区别?

一般的防火墙只能在专有云网络外部,实现南北向流量的访问控制。但是,对于专有网络或经典网络内部的流量(即东西向流量)无法控制。云防火墙采用分布式架构,其核心价值之一就是实现东西向流量的访问控制。

问题 6:云防火墙对于VPC内部的流量可以管控吗?

VPC内部的流量就是东西向流量。实现东西向流量的管控,正是云防火墙的基本核心价值之一。

问题 7: 云防火墙对于互联网流量(南北向)可以管控吗?

云防火墙所采用的分布式架构决定了无论是南北向还是东西向的流量,云防火墙都能进行管控。

问题 8: 云防火墙的业务区、角色组是什么概念?

云防火墙为您的业务和子业务建立虚拟的安全边界,也就是“划分安全域”的概念。

  • 云防火墙中的“业务区”相当于安全域,往往对应您的一个子业务,例如线上订单系统、预发系统、开发测试环境等。
  • 云防火墙中的“角色组”相当于业务模块,例如web集群、数据库集群、日志处理等。

您可以根据业务需求灵活地将云防火墙的“业务区”、“角色组”进行组合。需要注意的是,访问控制策略是作用于“角色组”上,而不是“业务区”上的。

问题 9: 智能分组的算法是怎样的?

智能分组是通过机器学习实现自动业务分区和分组,其核心算法为分区算法、分组算法。

  • 分区算法根据访问关系的聚类、实例名称的语义解析、ECS实例标签的语义解析这三项因素进行综合考虑,计算出业务分区结果。
  • 分组算法根据一组进程之间的相似度,自动分出外部web、MySQL、内部Web、MongoDB等角色组。

智能分组在每天0点时,根据之前24小时内的数据进行学习和计算,生成分区分组结果。另外,您也可以手动调整智能分组生成的临时分区,并保存为固定业务区。

问题 10: 流量线条太多,看不清楚,该如何处理?

流量线是真实反应在指定单位时间内您网络服务器之间的访问关系。更多详情,请参考简化拓扑

问题 11: 在云防火墙配置过程中,是否会影响当前的业务?

在云防火墙中的配置期间,不会对您的业务产生任何影响。您在发布业务区并真实下发访问控制策略之前,所有在云防火墙中的配置(包括分区分组、配置策略)都只是在云防火墙的服务器端进行的模拟配置。

因此,您可以大胆地进行配置,在发布业务区之前,任何云防火墙中的操作都不会对您当前的安全组配置、ECS配置产生任何影响,更不会对您当前的业务(ECS在安全组的归属关系、安全组策略、ECS的环境、其他阿里云资源的配置等)产生任何影响。

问题 12: 如果有很多ECS实例,可以全部导入到业务区吗?

除非您的真实业务情况需要,一般情况下,不建议划分太大的业务分区。过大的业务分区将导致运维复杂度过高,同时也可能降低安全性。

问题 13: 如果拓扑图中没有流量线条,但仍然想添加访问策略,该如何操作?

在云防火墙管理控制台,您可以定位到策略管理页面,手工添加访问策略。详细操作步骤,请参考策略管理

问题 14: 智能搜索的缺省规则是什么?

智能搜索的缺省规则,相当于防火墙的默认规则,即您所设置的全部规则定义了搜索的对象及动作,而缺省规则则是一条优先级最低、但覆盖所有“其它”搜索条件的对象及动作。

例如,您有10个业务区,如果您只想看见业务区1中的TCP 80端口相关的流量和业务区2中的TCP 3389端口的相关流量,并过滤掉其它流量,您可以通过定义以下三条规则来实现:

规则 搜索条件 动作
规则 1 业务区 1 + TCP 80 端口 显示
规则 2 业务区 2 + TCP 3389 端口 显示
缺省规则 所有业务区 不显示