互联网边界防火墙的作用是什么?

对于未开启互联网边界防火墙的公网IP资产,网络流量不会经过互联网边界防火墙,只经过主机防火墙(即安全组),最终到达您的ECS实例。

对于开启了互联网边界防火墙的公网IP资产,流量经过边界防火墙检测和过滤后,再经过主机防火墙,最终到达您的ECS实例。如果仅开启互联网边界防火墙开关、未配置云防火墙的访问控制策略也未设置入侵防御策略,云防火墙将仅对该流量进行检测和告警、不会进行拦截。

互联网边界防火墙开关开启或关闭时网络流量路径如下图所示:

开启互联网边界防火墙开关是否会对网络流量产生影响?

购买了云防火墙,互联网边界防火墙开关默认全部开启。如果未进行任何策略配置,您业务的访问流量仅经过云防火墙,云防火墙不会对流量进行任何处理。

关闭互联网边界防火墙开关有什么影响?

互联网边界防火墙页面如下图所示:

防火墙开关

关闭互联网边界防火墙开关可能会产生以下影响:

  • 网络流量分析 > 互联网访问活动页面中,网络流量分析部分图表可能无数据。
  • 如果配置了内对外外对内访问控制策略,关闭互联网边界防火墙开关将会使该主机对应的访问控制策略失效,表现为该访问控制策略的命中次数保持不变。
  • 所有流量将不会经过云防火墙,入侵防御功能将会失效。
  • 日志分析 > 日志审计页面中的流量日志页签,将不会显示防火墙开关关闭后的流量数据。
  • 所有流量将不会经过云防火墙,网络抓包抓取不到开关关闭后的流量数据,设置 > 工具箱页面中的网络抓包模块也不会展示对应IP的报文信息。详细内容,请参见网络抓包

相关操作,请参见开启或关闭互联网边界防火墙

为什么无法开启互联网边界防火墙开关?

现象描述

云防火墙控制台互联网边界防火墙列表中,部分资产无法开启边界防火墙保护(开启保护开关不可操作,并提示由于SLB所在网络限制,该IP所在网络不支持开启防火墙保护)。互联网边界防火无法开启

问题原因

该SLB资产只有私网IP,不支持开启云防火墙保护,因此部分资产无法开启互联网边界防火墙。

解决方法

对于资产只有私网SLB的情况,建议您采用私网SLB加EIP的方案(相关信息,请参见绑定EIP),将流量牵引到云防火墙上进行防护。

互联网边界防火墙支持防护哪些公网IP类型?

云防火墙支持以下类型的公网IP引流,即可以对您以下类型的公网资产提供防护:
  • ENI EIP(支持绑定到专有网络类型的ECS实例、专有网络类型的私网SLB实例、弹性网卡和NAT网关上)
  • NatPublicIP(ECS系统分配的公网IP)
  • SLB EIP(绑定到专有网络SLB的EIP)
  • 堡垒机