首页 使用云防火墙按量版防护公网流量

使用云防火墙按量版防护公网流量

更新时间: 2024-08-08 11:37:24

cfw

手动配置

18

教程简介

阿里云云防火墙按量版是一款云原生的云上边界网络安全防护产品,可以为中小企业用户提供互联网出口和入口边界防火墙,实现公网流量安全保护。云防火墙支持防护的公网资产包括ECS公网IP、SLB EIP、SLB公网IP、HAVIP、EIP、ECS EIP、ENI EIP、NAT EIP、SLB IPv6、ECS IPv6、堡垒机IP资产。本教程介绍如何使用云防火墙按量版防护公网流量。

使用云防火墙按量版防护公网流量的效果示意图如下:

image.png

我能学到什么

  • 熟悉云防火墙按量版的基础功能。

  • 学会如何使用云防火墙防护公网流量。

操作难度

所需时间

18分钟

使用的阿里云产品

云防火墙按量计费版

云防火墙按量节省套餐包

所需费用

0元

准备环境及资源

3

开始教程前,请按以下步骤准备环境和资源:

  1. 确保您的阿里云账号下已存在公网资产,包括EIP、ECS公网IP、SLB等。

  2. 访问阿里云免费试用。单击页面右上方的登录/注册按钮,并根据页面提示完成账号登录(已有阿里云账号)、账号注册(尚无阿里云账号)或实名认证(根据试用产品要求完成个人实名认证或企业实名认证)。

  3. 成功登录后,在安全分类下,选择云防火墙,在云防火墙卡片,单击立即试用

  4. 云防火墙面板,查看云防火墙规格。

    配置项

    说明

    试用时长

    显示云防火墙按量付费版的应用场景、计费规则等信息。

    服务关联角色

    根据页面提示创建服务关联角色AliyunServiceRoleForCloudFW,用于允许云防火墙访问您的ECS、SLB、NAT、EIP、安全组等服务,以便完成云防火墙相关功能。

    节省计划类型

    默认为免费试用

    阿里云提供500元云防火墙按量节省套餐包消费金额,用于抵扣您在免费试用期间产生的云防火墙按量计费项。

    说明

    按量节省套餐包购买后立即生效。由于云防火墙按量付费版会在每天18:00统计前一天的费用并进行结算,因此套餐包会在T+1天的账单中抵扣生效。

    例如,您在07月20日15:00购买了按量节省套餐包,此时按量付费套餐包可以抵扣07月20日15:00后产生的按量付费账单,并在07月21日生成的账单中抵扣生效。

    承诺消费金额(元)

    默认为500,即您可以免费试用按量节省套餐包500元额度。

    试用时长

    默认为3个月

  5. 仔细阅读并选中服务协议,单击立即试用

开启互联网边界防火墙

3

您需要开启互联网边界防火墙,云防火墙才能帮您检测互联网和公网IP资产间的通信流量。

  1. 登录云防火墙控制台。在左侧导航栏,单击防火墙开关

  2. (可选)在互联网边界防火墙页签,单击同步资产,系统为您同步当前账号及其成员账号的资产信息。

    image.png

  3. 按照如下维度开启互联网边界防火墙。

    • 为所有公网IP资产开启互联网边界防火墙

      根据公网IP按地域分类资产类型三个维度,单击开启保护,一键开启所有公网IP资产的互联网流量防护。

    • 为单个或多个公网IP资产开启互联网边界防火墙

      IPv4或者IPv6页签的公网IP列表中,定位到目标IP,在操作列单击开启保护,为选中的公网IP开启互联网流量防护。

    • 为新增资产开启互联网边界防火墙

      新增资产自动保护右侧,单击开关图标。开启新增资产自动保护功能后,如果当前阿里云账号新增了公网IP资产,云防火墙将自动为新增的公网IP资产开启互联网流量防护。

    开启或关闭互联网边界防火墙后,防火墙状态更新为保护中,表示互联网边界防火墙的防护已生效。

配置入侵防御策略

3

此步骤为可选操作。

云防火墙内置了威胁检测引擎,并且默认开启了基础防御功能,可以为您的公网资产拦截非法访问流量。如果您需要更精细化的访问控制策略,可以参考以下操作配置:

  1. 登录云防火墙控制台。在左侧导航栏,选择攻击防护 > 防护配置

  2. 防护配置页面的威胁引擎运行模式区域,设置威胁引擎运行模式。

    威胁引擎可选择以下两种模式:

    • 观察模式:开启后,可监控恶意流量并触发告警。

    • 拦截模式:开启后,可拦截恶意流量,阻断入侵活动。您可以根据防护需求,选择不同严格程度的拦截模式。

      • 拦截模式-宽松:防护粒度较粗,主要覆盖低误报规则,适合业务对误报要求高的场景。

      • 拦截模式-中等:防护粒度较宽松,介于宽松和严格之间,精准度较高,适合日常运维的常规防护场景。

      • 拦截模式-严格:防护粒度精细,覆盖全量规则,相比中等规则组可能误报更高,适合对安全防护漏报要求高的场景。

    image.png

  3. 防护配置页面的高级设置区域,您可以根据需要配置防护白名单、开启攻击防护功能等。更多信息,请参见入侵防御

配置访问控制策略

3

此步骤为可选操作。

如果您需要放行或拦截特定的域名、地理位置、IP、端口、应用协议等,您可以参考以下操作配置:

  1. 登录云防火墙控制台。在左侧导航栏,选择访问控制 > 互联网边界

  2. 互联网边界页面,单击出向(公网资产访问外部互联网)或入向(外部互联网访问公网资产)页签,然后单击创建策略

    image.png

  3. 在创建策略面板页签,按照创建策略类型,配置策略参数后并下发策略。

    重要

    下发策略操作涉及一定风险,请确保您已完整知悉即将下发的策略内容,再执行下发策略操作。

    您可以采用以下方式下发策略:

    • 自定义创建策略:自定义设置需要放行的策略规则。更多自定义策略配置案例,请参见访问控制策略配置示例

      如果您需要放行可信源IP,同时拒绝其他访问源。推荐配置:创建一个放行可信源IP的高优先级策略,并创建一个拒绝所有访问源访问外部互联网的低优先级策略。

    • 下发智能推荐策略:云防火墙自动学习近30日的流量情况,并结合发现的流量风险,为您推荐访问策略。您需要查看详细推荐策略,并根据需要选择是否下发推荐的智能策略。

    • 下发常用策略:云防火墙会为您内置常用的策略。如果常用的推荐策略符合您的业务需求,您可以直接下发对应的常用策略。

    更多信息,请参见配置互联网边界访问控制策略

完成

3

配置完成后,您可以登录云防火墙控制台,在控制台长查看云防火墙对资产的防护情况。

  • 查看防护数据统计

    在左侧导航栏,选择概览,在概览页面查看云防火墙的整体防护数据。

    image.png

  • 查看入侵防御数据

    在左侧导航栏,选择攻击防护 > 入侵防御,在入侵防御页面,查看云防火墙拦截流量的源IP、目的IP、阻断应用、阻断来源和阻断事件详情等信息。详细数据说明,请参见入侵防御

    image.png

  • 查看访问策略命中信息

    在左侧导航栏,选择访问控制 > 互联网边界,在互联网边界页面,查看访问策略的命中次数和命中时间。

    image.png

清理及后续

3

清理

云防火墙按量版的免费试用时间为3个月,试用到期后,云防火墙按量版将无法防护您的资产。如果您希望继续使用云防火墙按量版,可以购买云防火墙服务。具体操作,请参见购买云防火墙服务

如果您不再需要使用云防火墙按量版,可以参考以下步骤释放实例:

  1. 登录云防火墙控制台

  2. 概述页面右上角,选择更多 > 释放

    image.png

  3. 提示对话框,确认释放信息,然后单击确认

后续

您可以通过以下方式,查看按量节省套餐包的使用情况。

  1. 访问阿里云费用与成本页面。

  2. 在左侧导航栏,选择 账户 > 节省计划

  3. 单击对应页签,查看按量节省套餐包使用数据总览、使用明细、使用率等。

    image

总结

常用知识点

问题1:是否可以查看云防火墙按量节省套餐包的使用情况?

  • 可以

  • 不可以

正确答案是可以。您可以访问阿里云费用与成本页面,在账户 > 节省计划页面查看按量节省套餐包的使用情况。

问题2:云防火墙按量付费版可以提前释放吗?

  • 可以

  • 不可以

正确答案是可以。如果您不再需要使用云防火墙,您可以在云防火墙控制台概述页面右上角,选择更多 > 释放,释放云防火墙服务。

问题3:试用到期后,实际云防火墙消费金额不满500元,剩余额度可以在试用结束后继续使用吗?

  • 可以

  • 不可以

正确答案是不可以。云防火墙按量节省套餐包的承诺消费金额必须在购买时长内使用完。如果购买时长内没有使用完,过期未使用的余额自动作废。

延伸阅读