本文介绍使用云防火墙前的常见问题解决方案。
- 为什么使用云防火墙需要授权?
- 云防火墙支持的防护的范围
- 云防火墙与其他云产品的关系
- 杭州金融云基础版云防火墙与其他版本有哪些差异?
- 云防火墙最多支持几个跨账号部署?
为什么使用云防火墙需要授权?
您授权云防火墙访问当前阿里云账号下的云资产,例如云服务器ECS(Elastic Compute Service)实例列表、专有网络VPC(Virtual Private Cloud)实例列表、负载均衡SLB(Server Load Balancer)实例列表等,才能在云防火墙控制台看到云资产的流量请求和响应情况,以及云资产之间的私网业务访问情况,并根据这些数据的分析结果配置访问控制策略。
您只有使用阿里云账号或拥有管理访问控制权限(AliyunRAMFullAccess)的RAM用户身份,才能授权云防火墙访问云资源。关于授权的具体操作,请参见授权云防火墙访问云资源。
云防火墙是否支持防护L2 EIP?
暂时不支持防护和同步L2 EIP的资产。
云防火墙是否支持防护经典网络?
仅支持经典网络中存在公网IP的ECS实例和部分SLB。主机边界防火墙支持防护VPC间的流量,不支持防护经典网络。
云防火墙是否支持对公网SLB的访问?
阿里云提供公网和私网两种类型的负载均衡(SLB)服务。由于历史网络架构的原因,部分公网SLB不支持云防火墙引流,推荐您采用私网SLB加EIP的方案,将流量牵引到云防火墙上进行防护。
采用云防火墙后,数据从云防火墙流入DNAT(EIP),再流入私网SLB。
云防火墙是否支持对高速通道(专线VBR)和云企业网的访问控制?
- 高速通道场景下,目前只支持同地域VPC和VPC互访的防护,不支持VPC和VBR互访的防护。
- 云企业网场景下,支持VPC和VPC、VPC和VBR之间互访的防护。
云防火墙是否有抗APT攻击的能力?
有。云防火墙内置的威胁情报功能具备防范APT攻击的能力。
云防火墙是否支持防护通过VPN网关访问VPC的流量?
不支持。如果您从互联网通过VPN远程访问云企业网中的VPC,该流量会被VPN加密,云防火墙将无法解析该流量。
哪些流量会占用云防火墙的防护带宽?
云防火墙的防护带宽包含公网互访流量和VPC间的互访流量。公网之间的流量会占用公网防护带宽,VPC之间的流量会占用VPC的防护带宽。具体信息,请参见云防火墙购买页。
云防火墙在阿里云网络中的位置是什么?
云防火墙有3个控制单元:
- 互联网边界防火墙:部署于EIP的前面(即EIP出互联网方向的第一个防护节点),对公网EIP进行控制(高级版、企业版和旗舰版)。
- VPC边界防火墙:部署于VPC和VPC间的边界,对ECS的私网地址进行控制(企业版和旗舰版)。
- 主机防火墙:即安全组,对ECS实例间的入流量和出流量进行控制(企业版和旗舰版)。
同时使用云防火墙、WAF、DDoS高防等安全产品,云防火墙具体防护什么?
与Web应用防火墙WAF、DDoS高防等安全产品同时使用如上图所示。云防火墙防护的是WAF和DDoS高防的源站IP。
同时使用云防火墙、CDN,云防火墙具体防护什么?
与内容分发网络CDN(Content Delivery Network)同时使用时,云防火墙防护的是CDN的源站IP。
云防火墙是否支持与OSS、RDS同时使用?
目前云防火墙支持与阿里云对象存储OSS(Object Storage Service)、关系型数据库RDS(Relational Database Service)同时使用,但是不支持防护私网到OSS,RDS的流量。
默认情况下,RDS实例被设置为不允许任何IP(即白名单为127.0.0.1)访问,包括内网访问和外网访问。您可以通过RDS控制台的数据安全性页面或者API来添加白名单。白名单的更新无需重启RDS实例,因此不会影响您的业务。
如果您使用的是在ECS上自建的RDS数据库,则可以通过VPC边界防火墙来实现对自建RDS的防护。更多内容,请参见VPC边界防火墙。
同时使用DDoS、WAF、云防火墙、SLB、ALB、ECS时,业务流量如何走向?
- 同时使用了DDoS、CNAME WAF、云防火墙、SLB、ECS,则业务的流量走向为:
DDoS->CNAME WAF->云防火墙->SLB->ECS
- 同时使用了DDoS、透明WAF、云防火墙、ALB、ECS,则业务的流量走向为:
DDoS->云防火墙->透明WAF->ALB->ECS
杭州金融云基础版云防火墙与其他版本有哪些差异?
当您有如下需求时,可以将杭州金融云基础版云防火墙升级到高级版、企业版、旗舰版:
- 期望了解云上业务对外开放了哪些公网IP和哪些端口,应用开放的IP和端口有什么风险。
- 有等保需求,需要保持6个月以上的日志。
- 有基于域名的访问控制需求,期望对失陷主机的主动外联进行控制,控制只允许对外访问某些域名和IP。
- 有FTP、MQTT动态端口协议的应用,需要基于应用进行访问控制。
- 除了杭州金融云,还有其他地域的资源需要通过云防火墙防护。
关于云防火墙版本升级的方法,请参见云防火墙版本升级。
不同的版本支持的功能不同,您可以单击某个版本,在版本描述下查看当前版本的功能说明。更多信息,请参见功能特性。
表示支持,
表示不支持。
| 支持的功能 | 描述 | 杭州金融云基础版 | 高级版 | 企业版 |
|---|---|---|---|---|
| 防火墙 | 基于IP+Port的访问控制 | |
|
|
| 基于应用的访问控制 | |
|
|
|
| 基于域名的访问控制 | |
|
|
|
| 主动外联活动检测 | |
|
|
|
| 入侵检测 | IPS基础检测 | |
|
|
| 虚拟补丁 | |
|
|
|
| 威胁情报 | |
|
|
|
| 网络活动 | 互联网访问活动分析 | |
|
|
| 主动外联活动 | |
|
|
|
| 入侵检测活动 | |
|
|
|
| IPS阻断分析 | |
|
|
|
| 全量活动搜索 | |
|
|
|
| 日志 | 支持安全日志、流量日志和操作日志,存储6个月 | |
|
|
| 微隔离 | 网络拓扑可视、业务拓扑可视 | |
|
|
| 微隔离能力(东西向访问控制) | |
|
|
|
| 其他 | 支持区域 | 仅杭州地域 | 仅支持1个地域 | 支持多个地域(共3个) |
| 性能 | 带宽(互联网防火墙吞吐量) | |
默认10 Mbps,可扩展 | 默认50 Mbps,可扩展 |
| 微隔离支持资产数量(ECS) | |
|
默认支持50台,可扩展 | |
| 防火墙支持防护的公网IP数量(EIP) | |
20 | 100 | |
| 支持最大策略数 | 200 | 1000 | 2000 |
云防火墙最多支持几个跨账号部署?
仅云防火墙旗舰版支持统一账号管理功能(即跨账号部署)。统一账号管理功能默认支持添加1个阿里云成员账号。如果您需要添加更多的成员账号,需要升级云防火墙规格,扩充多账号管控数。多账号管控数最多可扩充1000个。具体操作,请参见续费说明。