云防火墙(Cloud Firewall)帮助您在云上实现业务隔离和防护,确保业务安全且满足合规要求。本文介绍如何更好地使用云防火墙为您的业务提供防护保障。

如何根据业务规划安全域

什么是专有网络VPC(Virtual Private Cloud)

专有网络是您的云上私有网络,您可以配置IP地址的范围、路由表和网关等。您也可以在自定义的专有网络使用阿里云资源,例如云服务器、云数据库RDS版和负载均衡等。更多信息,请参见什么是专有网络

每个专有网络都由至少一个私网网段、一个路由器和至少一个交换机组成,如下图所示: 1
常见的云上网络架构,如下图所示: 2

什么是安全域

基于业务类型、网络规模、业务管理等因素影响,一般企业上云后的安全域处于默认模式,这样就会导致随着业务的发展,业务网络架构变得混乱。例如,开放了不必要的端口发布到互联网、内部通信访问权限太大等。如果业务被恶意入侵,会存在很大的安全隐患。

网络安全域类似酒店,每个不同的入住客人可以入住不同的楼层和房间,互不干扰。在实际的IT业务环境中,数据库服务器与供客户访问的Web服务器显然不是一个安全等级,测试环境的服务器与正式提供服务的生产服务器也不是一个安全等级。因此,我们要对响应的业务资产从业务功能、通信关系等方面划分安全域。

如何设计安全域隔离业务

企业业务一般划分为生产网、开发测试网等不同的网络安全域。

  • 业务分区安全设计
    • 设计原则:可靠、稳定、高效交互。
    • 设计建议:
      • 按业务维度分区:互联网业务、内部系统。
      • 按系统维度分区:生产、开发测试、共享。
      • 跨分区通过云企业网CEN(Cloud Enterprise Network)搭配云防火墙,实现策略管控。
  • 互联网出入安全设计
    • 设计原则:保证灵活性、弹性伸缩能力和安全性。
    • 设计建议:
      • 配置云防火墙管控进出流量(可搭配Web应用防火墙WAF(Web Application Firewall))。
      • 可选:配置统一隔离区DMZ(Demilitarized Zone) VPC或虚拟交换机(vSwitch),搭配弹性公网IP(Elastic IP Address,简称EIP)、负载均衡SLB(Server Load Balancer)、NAT网关(NAT Gateway),提供互联网连接。
  • 云上业务互联安全设计
    • 设计原则:环境隔离,必要的连通同时保证安全。
    • 设计建议:
      • 配置云企业网(CEN),绑定VPC、专线(VBR)、CCN三种网络实例,实现一键接入、全球互联。
      • VPC内配置安全组策略,实现微隔离(可搭配云防火墙,实现策略统一管理)。
针对大型的集团子公司业务:生产网的安全域又会分为集团安全域、子分公司安全域等。集团安全域又划分为生产网外网区、内网区和生产网DMZ区。生产内网的安全域又会根据业务类型不同分为普通业务安全域、核心业务安全域、数据库安全域等。 3
针对一般的小型公司业务:根据业务类型、功能模块、网络通信关系等维度,划分为普通业务安全、核心业务安全域、数据安全域、DMA安全域(邮件系统、门户网站)等。 4

选择适合的云防火墙版本

什么是云防火墙

更多信息,请参见云防火墙简介

如何根据业务选择合适的云防火墙版本

云防火墙分为高级版、企业版和旗舰版三个版本,每个版本支持的功能、资产、带宽扩展规格不同。根据如下表格说明选择合适的版本。更多信息,请参见功能特性

防护公网IP数 防护VPC数量 是否需要多账号管控 建议云防火墙版本 核心功能
1~1,000个 按量版
  • 入门级防火墙。
  • 提供互联网方向网络安全防御能力。
  • 提供基础网络入侵防御(NIPS)能力。
20~1,000个 高级版
50~2,000个 2~200个 企业版
  • 企业级防火墙,覆盖高级版全部能力。
  • 提供VPC间网络安全防御能力。
  • 安全组统一管理与可视化。
  • 集成云安全中心,提供失陷感知。
400~4,000个 5~500个 旗舰版
  • 大型企业强烈推荐,覆盖企业版全部能力。
  • 提供多账号的统一组网的安全管理能力。
纳管其他阿里云账号资产
  • 高级版:1~20个
  • 企业版:1~50个
  • 旗舰版:1~1,000个
高级版、企业版、旗舰版

云防火墙支持的防护范围

防护范围 说明
云资产或流量
  • 互联网方向:ECS公网IP、SLB EIP、SLB公网IP、HAVIP、EIP、ECS EIP、ENI EIP、NAT EIP。
  • VPC到VPC之间:已使用云企业网或高速通道实现两个VPC之间的互通。
  • VPC和本地数据中心(IDC)之间:已使用VBR实现VPC和IDC之间互通。
说明 由于历史网络架构的原因,部分公网SLB不支持云防火墙引流,推荐您采用私网SLB加EIP的方案,将流量牵引到云防火墙上进行防护。
云网络类型
  • VPC网络:全面支持阿里云VPC网络。
  • 经典网络:互联网边界防火墙和威胁入侵检测(IPS)功能支持防护经典网络。主机边界防火墙支持防护VPC间的流量,不支持防护经典网络。
地域 支持的地域
协议
  • IPv4:支持IPv4流量转发和防护。
  • IPv6:支持IPv6流量转发和防护。
加密协议流量 不支持防护IPSec、SSL VPN流量。

使用限制

互联网边界防火墙使用限制

限制项 说明 处理建议
地域 支持的地域 未支持地域开服时间需留意官网公告。
带宽限制 互联网边界防火墙防护带宽:
  • 高级版默认10 Mbps,最高扩容至2,000 Mbps。
  • 企业版默认50 Mbps,最高扩容至5,000 Mbps。
  • 旗舰版默认200 Mbps,最高扩容至15,000 Mbps。
根据实际业务需求确认购买量。
防护配额 互联网边界防火墙防护公网IP数:
  • 高级版默认20个,最高扩容至1,000个。
  • 企业版默认50个,最高扩容至2,000个。
  • 旗舰版默认400个,最高扩容至4,000个。
根据实际业务需求确认购买量。

访问控制配置限制

限制项 说明 处理建议
授权规格数 不同版本的授权规格数上限如下,如超过则不能配置:
  • 高级版:50,000条
  • 企业版:100,000条
  • 旗舰版:200,000条
您可以加入钉群(群号:33081734),联系产品技术专家进行咨询。
地址薄 地址薄中地址数量不能超过1,000条。 新建地址薄。

VPC边界防火墙使用限制

限制项 说明 处理建议
支持防护数 VPC边界防火墙支持防护个数:
  • 高级版:不支持VPC边界防火墙。
  • 企业版:默认2个,最高扩容至200个。
  • 旗舰版:默认5个,最高扩容至500个。
根据实际业务需求确认购买量。
可防护VPC间最大带宽 VPC边界防火墙可防护最大流量:
  • 高级版:不支持VPC边界防火墙
  • 企业版:最高支持5,000 Mbps
  • 旗舰版:最高支持10,000 Mbps
您可以加入钉群(群号:33081734),联系产品技术专家进行咨询。

企业版转发路由器的VPC边界防火墙

  • 开启VPC边界防火墙时,需确保创建的VPC总数量不超过配额。创建的VPC中,包含开启VPC边界防火墙时自动新增的VPC(即新增一个实例名称为Cloud_Firewall_VPC的VPC)。VPC配额不足的情况下,您将无法开启VPC边界防火墙。关于VPC的数量限制,请参见限制与配额

    例如,同一地域内支持创建的VPC的数量默认为10个,由于开启VPC边界防火墙后会自动创建一个VPC,此时您最多可以再创建9个VPC。

  • 当企业版转发路由器的路由表内存在除100.64.0.0/10内的静态路由时,不支持配置引流模式。
  • 自动引流模式不支持VPC实例、VBR实例、TR实例同时存在多个引流场景;不支持将基础版转发路由器添加到引流模式;不支持有路由冲突的转发路由器;不支持VPC的前缀列表功能;不支持VPN网关。

基础版转发路由器的VPC边界防火墙

限制项 说明 处理建议
VPC的限制 开启VPC边界防火墙时,需确保创建的VPC总数量不超过配额。创建的VPC中,包含开启VPC边界防火墙时自动新增的VPC(即新增一个实例名称为Cloud_Firewall_VPC的VPC)。VPC配额不足的情况下,您将无法开启VPC边界防火墙。关于VPC的数量限制,请参见限制与配额

例如,同一地域内支持创建的VPC的数量默认为10个,由于开启VPC边界防火墙后会自动创建一个VPC,此时您最多可以再创建9个VPC。

如果配额已满,您需要修改VPC配额的上限。具体操作,请参见管理VPC配额

开启VPC边界防火墙时,需确保基础版转发路由器在每个地域支持添加的网络实例(包含VPC、VBR和CCN)数量不能超过配额。基础版转发路由器支持添加的VPC中,包含开启VPC边界防火墙时自动新增的VPC(即新增一个实例名称为Cloud_Firewall_VPC的VPC)。关于基础版转发路由器支持创建的网络实例数量,请参见使用限制

例如,每个基础版转发路由器支持连接的网络实例默认为10个,由于开启VPC边界防火墙后会自动创建一个VPC,此时您最多可以创建9个VPC。

建议您使用企业版转发路由器TR(Transit Router)。更多问题,请加入钉群(群号:33081734),联系产品技术专家进行咨询。

同一地域内,一个云企业网防护的VPC数量最多为31个。

路由限制 为云企业网创建VPC边界防火墙时,该云企业网中不能存在策略行为设置为拒绝类型的路由策略(系统默认生产的优先级为5,000拒绝类型路由策略除外),否则将会导致业务中断。 建议您删除相关路由策略,请加入钉群(群号:33081734),联系产品技术专家进行咨询。
开启VPC边界防火墙后,云防火墙会自动为VPC添加自定义路由条目。VPC实例自定义路由条目的默认值为200条,如果VPC路由表中的自定义路由条目达到上限,您将无法开启VPC边界防火墙。 增加VPC的配额。

您需要修改当前账号下VPC路由表的自定义路由配额,具体操作,请参见管理配额

开启VPC边界防火墙时,需确保云企业网的路由条目不超过配额。云企业网的路由条目数量中,包含开启VPC边界防火墙时自动新增的路由条目。关于云企业网中支持发布的路由条目数量,请参见使用限制 建议您将发布的路由条目数控制在100条内。如有需要,请加入钉群(群号:33081734),联系产品技术专家进行咨询。
在云企业网中开启VPC边界防火墙时,如果VPC中存在自定义路由表且绑定了交换机,不支持开通VPC边界防火墙。 您可以删除相关的自定义路由表或交换机解除绑定自定义路由表。
其他限制 如果您是在2021年05月01日之前开通了VPC边界防火墙,并且您在私网中使用公网网段,开启VPC边界防火墙后,您的服务器对SLB和RDS的访问将会中断。
说明 2021年05月01日及之后开通VPC边界防火墙的用户无此限制。
建议按标准规划您的网络,避免出现私网中使用公网网段的情况。
SLB和RDS等云服务在开启或关闭VPC边界防火墙过程中,会出现已建立连接的长连接失效问题。
  • 在开启或关闭VPC边界防火墙的过程前,暂时设置SLB的健康检查为本VPC后端,避免健康检查抖动,开启或关闭后就可以该设置。
  • 在客户端增加连接保活以及重连机制。

高速通道VPC边界防火墙

限制项 处理建议
开启VPC边界防火墙时,需确保创建的VPC总数量不超过配额。创建的VPC中,包含开启VPC边界防火墙时自动新增的VPC(即新增一个实例名称为Cloud_Firewall_VPC的VPC)。VPC配额不足的情况下,您将无法开启VPC边界防火墙。关于VPC的数量限制,请参见限制与配额

例如,同一地域内支持创建的VPC的数量默认为10个,由于开启VPC边界防火墙后会自动创建一个VPC,此时您最多可以再创建9个VPC。

如果配额已满,您需要修改VPC配额的上限。 具体操作,请参见管理VPC配额
在高速通道中不支持防护子网掩码为32位的路由。如果路由的子网掩码为32位,开启VPC边界防火墙后,会导致对此网段的网络访问中断。 建议您先将网段掩码长度修改为小于等于30后,再开启VPC边界防火墙,或者加入钉群(群号:33081734),联系产品技术专家进行咨询。

最佳防护策略

功能模块 子类 默认状态 是否要调整
防火墙开关 互联网边界(双向) 在配额范围内全开启。 不调整,如果配额不够导致没有全开启需要添加配额。
VPC边界 未创建、未开启。 需要手动创建并开启。
IPS防护 互联网边界 默认拦截-宽松或者拦截-中等模式,根据业务自动选择。 不建议调整,默认配置即可。
VPC边界 创建VPC边界防火墙时设置拦截模式,开启VPC边界防火墙时自动开启。
访问控制 互联网边界 放行所有流量。 根据业务配置。
VPC边界 开启VPC边界防火墙后手动配置。
告警通知 告警通知 开启但需要配置收件人。 需要配置收件人。
统一账号管理 统一账号管理 需要手动创建。

开启云防火墙

开启防火墙服务后,云防火墙不会限制业务访问流量,超过公网防护带宽的流量不会被防护,会被默认放行。具体操作,请参见云防火墙快速配置流程

防护入方向的资产

  • 互联网边界防火墙访问控制策略

    外网到内网的互联网边界访问控制策略管控用户访问云上服务入方向的流量,一般建议先配置放行访问云上服务的策略,然后再配置拒绝所有来源、协议、端口和应用的策略。可实现对可信流量放行,对其他可疑流量或恶意流量进行拒绝的访问控制,将外网风险管理做到有放有控。

    配置互联网边界防火墙策略前,请您确认互联网边界防火墙开关已开启,否则策略将不生效。

    您需要先创建一条入方向的访问控制策略,先对可信的外部源IP放行,将优先级设置为最前。然后创建第二条入方向的访问控制策略,拒绝其它所有访问源去访问内部网络,将优先级设置为最后。若访问源、目的源、端口有多个,可使用地址簿或创建多条访问控制策略。具体操作,请参见互联网边界防火墙(出入双向流量)配置外到内流量只允许访问某个端口的访问控制策略

  • 流量监测

    互联网访问页面展示云上开放的服务、端口、公网IP地址和云产品信息,结合开放公网IP信息和推荐的智能策略可加强入方向访问控制策略安全水位。

  • 入侵监测和防护

    云防火墙内置了威胁检测引擎(IPS),可对互联网上的恶意流量入侵活动和常规攻击行为实时阻断和拦截,一般针对木马后门等恶意文件、攻击payload请求行为进行检测和防护,并提供精准的威胁检测虚拟补丁,智能阻断入侵风险。其检测的运行原理包括利用威胁情报、入侵检测规则、智能模型算法识别、虚拟补丁的方式多方位进行检测。

    在开启该功能时,我们建议您优先开启观察模式,通过试运行一段时间,分析数据误拦截情况后,再开启防护拦截模式功能。更多信息,请参见防护配置

  • 漏洞防护

    云防火墙可针对被网络侧攻击利用的漏洞提供攻击防御能力,漏洞信息是由云安全中心漏洞检测功能自动检测并同步到云防火墙,需将威胁引擎运行模式设置为拦截模式-中等。该模式根据数据分析,一般不会对业务产生误拦截现象。

    漏洞防护对云资产相关的漏洞使用虚拟补丁规则防御,对于恶意攻击或使用工具攻击漏洞的流量会被防御拦截。更多信息,请参见漏洞防护

防护出方向的资产

  • 互联网边界访问控制策略

    内网到外网的互联网边界访问控制策略管控云上资产访问互联网出方向的流量,一般建议先配置放行访问互联网的策略,然后再配置拒绝所有云上资产访问互联网服务的策略,可实现放行部分云资产需要访问互联网的流量,拒绝全部云上资产流量出网的访问控制,将外联风险做到有放有控。

    配置互联网边界防火墙策略前,请您确认互联网边界防火墙开关已开启,否则策略将不生效。

    您需要先创建一条出方向的访问控制策略,先对可信的内部源IP放行,将优先级设置为最前。然后创建第二条出方向的访问控制策略,拒绝其它所有访问源去访问外部互联网,将优先级设置为最后。若访问源、目的源、端口有多个,可使用地址簿或创建多条访问控制策略。具体操作,请参见互联网边界防火墙(出入双向流量)配置外到内流量只允许访问某个端口的访问控制策略

  • 流量监测

    主动外联活动页面展示云上资产外联域名、外联IP信息,结合情报标签和访问详情及日志,可对出方向访问控制策略查漏补缺。

  • 入侵监测和防护

    购买云防火墙服务后,默认开启对有公网IP的云资产的保护,威胁检测运行模式默认为拦截模式-中等,对于新购买的云防火墙客户,建议更改为观察模式。观察模式可对恶意流量进行监控并告警,使用云防火墙2周或1个月后,分析观察业务数据正常后可将观察模式调整为拦截模式加强安全防护水位。

防护内对内的资产

  • VPC边界访问控制策略

    内网到内网的VPC边界访问控制策略管控两个VPC间的通信流量,一般建议先配置放行可信IP访问VPC的策略,然后再配置拒绝其他地址访问VPC的策略。

    VPC边界防火墙可用于检测和控制两个VPC间的通信流量,VPC边界防火墙开启后默认放行所有流量。

    您需要先创建一条VPC边界防火墙放行策略,先放行可信流量,将优先级设置为最前。然后创建第二条VPC边界防火墙放拒绝策略,拒绝其它所有访问源去访问内部网络,将优先级设置为最后。具体操作,请参见VPC边界防火墙

  • 主机边界访问控制策略(ECS实例间)

    主机边界防火墙可以对ECS实例间的入流量和出流量访问控制,实现颗粒度更小的ECS实例间的未授权访问。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。

    一般建议先配置放行访问云上服务的策略,然后再配置拒绝所有来源、协议、端口和应用的策略。

    策略组分为普通策略组和企业策略组,如果您的ECS数量较少,您可以使用普通策略组,即当前的ECS安全组,如果ECS实例多,建议使用企业策略组,相比原有的普通策略组,大幅提升了组内容纳实例数量,不再限制组内私网IP数量,规则配置方式更加简洁便于维护,适用于对整体规模和运维效率有较高需求的企业级用户。

  • 流量监控

    VPC访问活动展示VPC与VPC之间的流量趋势、会话、开发端口等,可查看和排查异常流量,为VPC访问控制策略加固防护。

  • 入侵监测和防护

    开启VPC防火墙开关后,云企业网到已配置的目标网段的流量会被牵引到云防火墙,此时若配置了VPC边界防火墙访问控制策略或开启了入侵防御拦截模式,云防火墙会对这些流量进行安全防护。

数据分析

通过日志服务分析异常原因

网络不通问题排查:在确认云资产开启云防火墙保护后,流量日志中使用源IP和目的IP条件筛选,查看日志的动作列为丢弃确定防火墙拦截。更多信息,请参见日志概述

常见问题分析案例

客户配置访问控制策略禁止公网访问某台ECS,但是测试从公网测试仍可以访问,收集ECS IP信息,在互联网流量日志中筛选目的IP为ECS的IP,查看日志匹配的策略及动作是否为丢弃。若为否,需再确认客户配置的策略是否有命中数,确认策略优先级问题。

收集ECS IP信息,日志设置筛选条件为目的IP(ECS公网IP)、流量方向(入方向)、 时间(测试时间范围);如果日志匹配的策略动作为放行,查看匹配对应的规则名(为防火墙默认放行);为匹配中云防火墙默认放行策略;如果日志匹配的策略动作为丢弃,表示云防火墙匹配到流量,查看访问控制策略是否有命中次数,确认优先级问题。

将云防火墙流量日志导入第三方系统

云防火墙高级版、企业版和旗舰版与阿里云日志服务(SLS)已打通,开通日志分析功能云防火墙日志会自动投递到SLS中,云防火墙对应的project名为cloudfirewall-project-UID-cn-Region。具体操作,请参见云防火墙的流量日志是否支持导出到第三方系统?

如果云防火墙日志较多,且都需要保留,您也可以将日志转存至OSS存储空间。具体操作,请参见创建OSS投递任务(新版)

监控及报告

配置监控告警消息推送

云防火墙提供以下通知:

  • 流量异常通知:当经过云防火墙的峰值流量超过您已购买的公网流量处理能力时,会发送该通知。
  • 周报:云防火墙在您设置好的通知时间,发送周报内容至您设置的邮箱。
  • 失陷主机通知:当云防火墙检测到有主机失陷时,会发送该告警。为确保通知的准确性,部分通知可能会延迟一天发出。
  • 异常外联通知:当云防火墙检测到有主机外联风险IP或者域名时,会发送该通知。
  • 漏洞实时防护通知:当云防火墙发现您资产存在的漏洞被利用发起攻击时,会发送该通知。
  • 资产保护通知:当云防火墙检测到您的公网IP资产或VPC资产未开启保护,会发送该通知。
  • 入侵防护通知:当云防火墙检测到您的入侵防御拦截模式未开启,导致无法自动拦截攻击时,会发送该通知。
  • 新增公网资产通知:当云防火墙检测到您有新增公网资产时,会发送该通知,提醒您为新增资产开启保护。
  • 智能策略推荐通知:云防火墙通过自动化流量学习,为您推荐智能访问控制策略。

配置监控告警通知有利于运维人员第一时间掌握业务安全异常,云防火墙默认支持通过邮件和短信向阿里云账号联系人发送云防火墙相关通知,最多可以添加10个云防火墙通知联系人。

配置安全报告

如果您需要周期性的安全报告,云防火墙支持以邮件方式发送周报通知,总结Web资产的安全防护数据、防火墙开启状态、漏洞分析及安全策略数据等信息,帮助了解资产整体安全态势。您可以前往云防火墙控制台周报功能模块设置,更多信息,请参见云防火墙周报

故障应急

如果您发现因产品或防护规则导致业务存在异常,可以按照以下方法处理:

问题类别 处理方式
产品故障 建议您关闭目标资产的保护开关。具体操作,请参见互联网边界防火墙
访问控制误拦截 建议您配置访问控制放行策略。更多信息,请参见访问控制策略总览

威胁情报相关的拦截策略,需在访问控制中添加白名单。

威胁检测引擎误拦截 配置威胁检测引擎拦截模式为观察模式。具体操作,请参见防护配置
VPC间流量不通
  • 您可以加入钉群(群号:33081734),联系产品技术专家进行咨询。
  • 如果情况紧急,可以通过以下两种方式将流量从VPC边界防火墙规避:

安全专家服务

购买开通云防火墙服务后,您可以加入钉群(群号:33081734),联系产品技术专家进行咨询。。安全专家将针对您的业务场景提供云防火墙配置指导、安全攻击分析和防御相关安全服务,基于业务实际情况帮助您更好地使用云防火墙对业务进行安全防护,保障您业务的网络应用安全。