容器防火墙的原理及支持的操作系统版本_云安全中心-阿里云帮助中心

容器防火墙是云安全中心为容器环境提供的防火墙服务。当黑客利用漏洞或恶意镜像入侵容器集群时，容器防火墙会对异常行为进行告警或拦截。

版本限制说明

仅旗舰版支持该功能，其他版本用户需要升级到旗舰版才可使用该功能。购买和升级云安全中心服务的具体操作，请参见购买云安全中心和升级与降配。各版本的功能详情，请参见功能特性。

容器防火墙原理

容器防火墙通过将容器中应用的命名空间、应用名称、镜像以及标签等信息整合为网络对象，作为区别容器应用的标签信息。然后基于容器应用的网络对象，为容器应用创建网络访问的拦截规则，对异常访问流量进行检测和拦截。关于容器防火墙的配置和使用，请参见新增网络对象、创建防御规则、防御状态与规则管理和查看防护状态。

支持的操作系统版本

集群防御规则的正常运行依赖于恶意网络行为防御的AliNet插件（AliNet插件主要用于网络连接拦截、DNS拦截、暴力破解拦截），使用容器防火墙功能前请确保您的集群节点的系统内核版本在AliNet插件支持的系统内核版本范围内。如果集群节点的系统内核版本不在AliNet插件支持的系统内核版本范围内，会导致集群防御规则无法生效。AliNet插件支持的系统内核版本如下：


操作系统	操作系统版本号	内核版本号
Ubuntu（64位）	Ubuntu 14.04 Ubuntu 16.04 Ubuntu 18.40 Ubuntu 20.04	3.13.0-32-generic 3.13.0-86-generic 4.4.0-104-generic 4.4.0-117-generic 4.4.0-124-generic 4.4.0-142-generic 4.4.0-146-generic 4.4.0-151-generic 4.4.0-170-generic 4.4.0-174-generic 4.4.0-179-generic 4.4.0-184-generic 4.4.0-185-generic 4.4.0-62-generic 4.4.0-63-generic 4.4.0-93-generic 4.4.0-96-generic 4.15.0-23-generic 4.15.0-42-generic 4.15.0-45-generic 4.15.0-52-generic 4.15.0-54-generic 4.15.0-72-generic 4.15.0-96-generic 4.15.0-109-generic 4.15.0-106-generic 4.15.0-111-generic 4.15.0-118-generic 4.15.0-1047-gcp 4.15.0-128-generic 5.4.0-31-generic 5.4.0-42-generic 5.4.0-47-generic 5.4.0-58-generic 5.4.0-73-generic
CentOS（64位）	CentOS 6.5 CentOS 6.6 CentOS 6.7 CentOS 6.8 CentOS 6.9 CentOS 6.10 CentOS 7.0-1406 CentOS 7.1-1503 CentOS 7.2-1511 CentOS 7.3-1611 CentOS 7.4-1708 CentOS 7.5-1804 CentOS 7.6-1810 CentOS 7.7-1908 CentOS 7.8-2003 CentOS 7.9-2009 CentOS 8.0-1905 CentOS 8.1-1911 CentOS 8.2-2004	2.6.32-（表示所有2.6.32版本的CentOS系统内核） 3.10.0-（表示所有3.10.0版本的CentOS系统内核） 4.18.0-** (版本号小于4.18.0~240.15.1的版本) 5.4.42-200.el7.x86_64
AliyunOS（64位）	AliyunOS 2.1903	3.10.0-1160.al7.1.x86_64 4.4.95-1.al7.x86_64 4.4.95-3.al7.x86_64 4.19.24-7.al7.x86_64 4.19.24-7.14.al7.x86_64 4.19.81-17.al7.x86_64 4.19.81-17.2.al7.x86_64 4.19.91-19.1.al7.x86_64 4.19.91-21.al7.x86_64 4.19.91-21.2.al7.x86_64 4.19.91-22.al7.x86_64 4.19.91-22.2.al7.x86_64 4.19.91-23.al7.x86_64 4.19.91-24.1.al7.x86_64