全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 阿里云办公 培训与认证 物联网

云防火墙常见问题

更新时间:2017-08-25 17:14:52

问题 1: 云防火墙的作用是什么?

云防火墙是基于业务可视化的基础,帮助您对业务进行梳理,保障业务的有序性。同时,基于有序性的前提,云防火墙会帮助您下发访问控制策略,实现核心资产的隔离、业务的分区分组、及访问关系授权。

问题 2: 什么是微隔离?

微隔离的概念最早是由 Gartner 公司提出的,用于描述东西向流量的安全访问控制。有别于传统办公网的安全访问控制,微隔离的对象是虚拟机和应用。

问题 3: 什么是业务可视化?

业务可视化是指基于服务器信息、连接和应用信息,形成的节点 + 访问关系的流量拓扑图。通过该拓扑图,您可以清晰的甄别合法访问和非法访问,从而执行微隔离策略。

问题 4: 登录到云防火墙管理控制台后,第一步应该做什么?

首先,不建议您立刻动手配置。第一步,建议您在纸上规划好一张《业务分区规划表》,规划表中应包括:需要创建哪些业务分区?每个分区有哪些分组?每个分区或分组应该包含哪些ECS 实例?ECS 实例具有的不同角色,应该赋予什么访问策略?

规划完成后,再参考 快速入门 中的步骤进行云防火墙配置操作。

问题 5: 流量线条太多,看不清楚,该如何处理?

流量线是真实反应在指定单位时间内您网络服务器之间的访问关系。你可以通过调整流量线周期的时间(例如,从七天改为一天)来减少显示的流量线。另外,您还可以通过智能搜索的功能,自由设定可以叠加的搜索规则,过滤掉无关的流量线条,只显示有关的流量线条。

问题 6: 对于角色分组,应该怎么操作?

如果您不知道该如何将 ECS 实例进行角色分组,可以尝试在您已经完成的《业务分区规划表》中查看这台 ECS 实例属于哪个分区、哪个角色分组?

如果在《业务分区规划表》中没有相关记录,你可以通过云防火墙的可视化工具,查看该 ECS 实例的服务器信息(例如,实例名称、标签、IP、服务端口、进程、及操作系统等)、以及该 ECS 实例与其他 ECS 实例之间的访问关系,然后再判断该 ECS 实例应该如何进行角色分组。

问题 7: 如果有很多 ECS 实例,可以全部导入到业务区吗?

除非您的真实业务情况需要,一般情况下,不建议划分太大的业务分区。过大的业务分区将导致运维复杂度过高,同时也可能降低安全性。

问题 8: 为什么在云防火墙管理控制台找不到“一键全通”和“拦截模式”功能?

云防火墙公测期间,“一键全通”和“拦截模式”功能需要通过申请才能开通。

问题 9: 如果拓扑图中没有流量线条,但仍然想添加访问策略,该如何操作?

在云防火墙管理控制台,您可以定位到 策略管理 页面,手工添加访问策略。详细操作步骤,请参考 流量审核

问题 10: 智能搜索的缺省规则是什么?

智能搜索的缺省规则,相当于防火墙的 Default 规则,即您设置的全部规则定义了搜索的对象及动作,而缺省规则则是优先级最低、但覆盖所有“其它”搜索条件的对象及动作。

例如,您有10个业务区,如果您只想看见业务区1中的 TCP 80 端口相关的流量和业务区2中的 TCP 3389 端口的相关流量,并过滤掉其它流量,您可以通过定义以下三条规则来实现:

规则 搜索条件 动作
规则 1 业务区 1 + TCP 80 端口 显示
规则 2 业务区 2 + TCP 3389 端口 显示
缺省规则 所有业务区 不显示

问题 11: 智能搜索规则数上限是多少?

智能搜索最多可添加 10 条搜索规则。

问题 12: 智能搜索右侧的勾选框有什么作用?

这些勾选框是用于决定该条规则是否生效(缺省规则是无法取消勾选)。

本文导读目录