本文介绍云防火墙开关常见问题的解决方案。

为什么当前账号无法开启云防火墙?

使用阿里云账号登录云防火墙控制台,控制台界面上展示当前账号无法开启云防火墙。考虑如下两个原因:
  • 当前账号为阿里云账号(主账号)且已被其他阿里云账号添加为成员账号进行统一管理。
  • 当前账号为RAM用户(子账号)且未完成授权。
您可以将光标移至控制台界面右上角登录账号头像处,查看账号ID
  • 如果账号ID是以1开头的一串数字,表示该账号为阿里云账号(主账号)。请您使用统一管理该账号的阿里云账号登录云防火墙控制台,您登录成功后可以为该账号下的云资产开启防护。
  • 如果账号ID是以2开头的一串数字,表示该账号为RAM用户(子账号)。您需要对该账号授予createSlrAliyunYundunCloudFirewallReadOnlyAccessAliyunYundunCloudFirewallFullAccess权限。
    关于如何授权,请参见为RAM用户授权。其中,createSlr是自定义权限策略。具体的脚本如下,具体操作,请参见创建自定义权限策略
    {
        "Statement": [
            {
                "Action": [
                    "ram:CreateServiceLinkedRole"
                ],
                "Resource": "acs:ram:*:166032244439****:role/*",
                "Effect": "Deny",
                "Condition": {
                    "StringEquals": {
                        "ram:ServiceName": [
                            "cloudfw.aliyuncs.com"
                        ]
                    }
                }
            }
        ],
        "Version": "1"
    }
    说明 Resource参数的格式为acs:ram:*:阿里云账号(主账号)的UID:role/*。阿里云账号(主账号)的UID表示RAM用户(子账号)所属主账号的UID。

互联网边界防火墙的作用是什么?

对于未开启互联网边界防火墙的公网IP资产,网络流量不会经过互联网边界防火墙,只经过主机防火墙(即安全组),最终到达您的ECS实例。

对于开启了互联网边界防火墙的公网IP资产,流量经过边界防火墙检测和过滤后,再经过主机防火墙,最终到达您的ECS实例。如果仅开启互联网边界防火墙开关、未配置云防火墙的访问控制策略也未设置入侵防御策略,云防火墙将仅对该流量进行检测和告警、不会进行拦截。

互联网边界防火墙开关开启或关闭时网络流量路径如下图所示:流量图

开启互联网边界防火墙开关是否会对网络流量产生影响?

购买了云防火墙,互联网边界防火墙开关默认全部开启。如果未进行任何策略配置,您业务的访问流量仅经过云防火墙,云防火墙不会对流量进行任何处理。

关闭互联网边界防火墙开关有什么影响?

关闭互联网边界防火墙开关可能会产生以下影响:

  • 网络流量分析 > 互联网访问活动页面中,网络流量分析部分图表可能无数据。
  • 如果配置了内对外外对内访问控制策略,关闭互联网边界防火墙开关将会使该主机对应的访问控制策略失效,表现为该访问控制策略的命中次数保持不变。
  • 所有流量将不会经过云防火墙,入侵防御功能将会失效。
  • 日志分析 > 日志审计页面中的流量日志页签,将不会显示防火墙开关关闭后的流量数据。
  • 所有流量将不会经过云防火墙,网络抓包抓取不到开关关闭后的流量数据,设置 > 工具箱页面中的网络抓包模块也不会展示对应IP的报文信息。详细内容,请参见网络抓包

相关操作,请参见互联网边界防火墙

为什么无法开启互联网边界防火墙开关?

云防火墙控制台互联网边界防火墙列表中,部分资产无法开启边界防火墙保护(开启保护开关不可操作,并提示由于SLB所在网络限制,该IP所在网络不支持开启防火墙保护)。

该SLB资产只有私网IP,不支持开启云防火墙保护,因此部分资产无法开启互联网边界防火墙。

对于资产只有私网SLB的情况,建议您采用私网SLB加EIP的方案,将流量牵引到云防火墙上进行防护。具体操作,请参见绑定和管理EIP

互联网边界防火墙支持防护哪些公网IP类型?

云防火墙支持以下类型的公网IP引流,即可以对您以下类型的公网资产提供防护:
  • ENI EIP(支持绑定到专有网络类型的ECS实例、专有网络类型的私网SLB实例、弹性网卡和NAT网关上)
  • NatPublicIP(ECS系统分配的公网IP)
  • SLB EIP(绑定到专有网络SLB的EIP)
  • 堡垒机
完成升级后,当遇到该类IP开启云防火墙时,将自动判断其公网IP路由是否完成升级。
  • 如果已完成路由升级,支持开启云防火墙。
  • 如果未完成路由升级,云防火墙不再提供开启云防火墙的功能。

针对升级前已经开启云防火墙的此类IP,您可以在互联网边界防火墙页面防火墙状态列,查看路由升级的检测结果。

  • 如果检测到该公网IP已经完成路由升级,您可以通过一键升级获取到云防火墙的完整防护能力。升级前,建议您先将该公网IP加入白名单或者确认当前策略对该SLB公网IP已放行。

    只要提前将该IP加入白名单,本次升级操作理论上无风险。如果有任何异常,可以单击操作栏的关闭保护恢复升级前的状态。建议您在业务低峰期间执行升级操作。

  • 如果检测到该公网IP未完成路由升级,则该公网IP不支持升级操作。建议您先关闭该公网IP防火墙防护开关,避免防护能力缺失后存在的潜在风险。

部分SLB经典网络公网IP防护能力缺失?

当SLB公网IP的网络类型为经典网络时,其中部分IP因路由未完成升级而开启了云防火墙。这种情况,云防火墙防护引擎无法保证全部防护该类IP的流量,可能会存在部分防护能力缺失的风险。为了提供更好的防护体验,以及解决该类IP开启云防火墙所遇到的问题,云防火墙于2022年06月23日零点(00:00:00)升级服务。

完成升级后,当遇到该类IP开启云防火墙时,将自动判断其公网IP路由是否完成升级。
  • 如果已完成路由升级,支持开启云防火墙。
  • 如果未完成路由升级,云防火墙不再提供开启云防火墙的功能。

针对升级前已经开启云防火墙的此类IP,您可以在互联网边界防火墙页面防火墙状态列,查看路由升级的检测结果。

  • 如果检测到该公网IP已经完成路由升级,您可以通过一键升级获取到云防火墙的完整防护能力。升级前,建议您先将该公网IP加入白名单或者确认当前策略对该SLB公网IP已放行。

    只要提前将该IP加入白名单,本次升级操作理论上无风险。如果有任何异常,可以单击操作栏的关闭保护恢复升级前的状态。建议您在业务低峰期间执行升级操作。

  • 如果检测到该公网IP未完成路由升级,则该公网IP不支持升级操作。建议您先关闭该公网IP防火墙防护开关,避免防护能力缺失后存在的潜在风险。

资产同步慢,单击同步资产后没显示公网资产?

云防火墙免费版只能看到EIP资产,不会同步ECS公网IP。

开启VPC边界防火墙开关是否对网络流量会产生影响?

无论是开启互联网边界防火墙和VPC边界防火墙都不会对网络流量产生任何影响。

开启VPC边界防火墙开关之前,需要评估以下限制:目前,开启或关闭VPC边界防火墙操作会触发长连接重置。如果您的VPC内正在使用内网SLB,您在开启VPC边界防火墙前需要检查您的应用程序是否支持TCP自动重传机制,并关注应用连接状态,避免未配置重传机制导致的连接中断。

开启VPC边界防火墙后,ECS安全组规则是否会受到影响?

不会。开启VPC边界防火墙后会自动添加名称为Cloud_Firewall_Security_Group的安全组和放行策略,用于放行到VPC边界防火墙的流量。

开启VPC边界防火墙后自动创建的安全组仅对该VPC之间的流量进行管控,您原来已创建的ECS安全组规则仍然生效并不受影响。因此,无需您对ECS安全组规则做任何迁移或修改。

为云企业网创建VPC边界防火墙时,为什么提示未授权?

如果您的阿里云账号下的云企业网中,存在另一个账号开通的专有网络VPC,需要先授权云防火墙访问该VPC所属阿里云账号下的云资产。

针对此场景,如果您未完成对该VPC所属阿里云账号的授权,为该VPC创建VPC边界防火墙时,页面会提示存在未授权的网络实例,不允许创建

CEN-TR基础版场景,已经开启VPC防火墙,为什么会多了一条动作为拒绝的路由策略?

假设开启VPC-test的防火墙后,VPC防火墙会创建一个名称Cloud_Firewall_VPC的VPC,并发布静态路由,目的是将其他未开墙VPC的流量引入到云防火墙。同时会在VPC-test内添加静态指向防火墙ENI,并创建一条拒绝的路由策略,使得VPC-test不再学习CEN发布的路由,VPC-test出方向的流量通过静态路由将流量引入到云防火墙。

重要 请勿修改和删除路由策略和路由表,否则会影响云防火墙引流,并导致业务流量不通。

NAT防火墙1.0场景,云防火墙为什么会创建1个路由表,并下发0.0.0.0/0的静态路由?

开启NAT防火墙1.0后,会自动创建1个自定义路由表,并添加路由0.0.0.0/0指向NAT网关,同时系统路由表会修改路由将0.0.0.0/0指向防火墙ENI,目的是将NAT网关出方向的流量引流到云防火墙。
重要 请勿修改和删除路由表,否则会影响云防火墙引流,并导致业务流量不通。