云防火墙(Cloud Firewall)是您业务上云后的安全防护组件,支持全网流量识别、统一策略管控、入侵检测等核心功能。云防火墙不仅可以防护从互联网到业务的访问流量,同时还能控制业务到互联网的主动外联访问,并对业务和业务间的访问进行控制。本文介绍如何使用云防火墙

前提条件

已购买云防火墙。具体操作,请参见购买服务

步骤一:开启云防火墙

云防火墙是互联网边界防火墙、VPC边界防火墙、主机边界防火墙、NAT防火墙和DNS防火墙的统称。云防火墙开启后,如果您未配置任何访问控制策略,或者未开启拦截模式的威胁引擎,云防火墙将无法为您的业务流量提供安全防护。

开启云防火墙后,就会产生相应的费用。具体介绍,请参见按量付费。您也可以通过包年包月,提前预留资源,同时享受更低的价格,帮助您更大程度节省支出。具体介绍,请参见包年包月

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择防火墙开关 > 防火墙开关
  3. 根据业务需要,开启云防火墙开关。
    防火墙类型 说明 操作
    互联网边界防火墙 对互联网和公网IP资产间的通信流量统一管控。 开启互联网边界防火墙。具体操作,请参见互联网边界防火墙
    VPC边界防火墙 对专有网络VPC(Virtual Private Cloud)之间、VPC和本地数据中心之间的流量统一管控。
    说明 由于仅云防火墙企业版和旗舰版支持VPC边界防火墙,如果您开通的是云防火墙基础版(即免费版本)或高级版,您在防火墙开关页面将无法看到VPC边界防火墙页签。
    开启VPC边界防火墙。具体操作,请参见VPC边界防火墙
    主机边界防火墙 对ECS实例间的入流量和出流量进行访问控制,限制ECS实例间的未授权访问。
    说明 主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。无需您单独开启主机边界防火墙。
    配置主机边界防火墙的访问控制策略。具体操作,请参见主机边界防火墙(ECS实例间)
    NAT防火墙 对私网IP访问公网的流量进行访问控制和防护。 NAT防火墙目前处于邀测阶段,请联系商务经理开启。
    DNS防火墙 对VPC访问互联网上指定的域名进行精细管控。 DNS防火墙目前处于邀测阶段,请联系商务经理开启。
    开启或关闭防火墙后,防火墙状态更新为保护中(表示防火墙的防护已生效)或未受保护(表示防火墙的防护已关闭)。防火墙状态更新可能需要数秒时间,请耐心等待。

步骤二:配置入侵防御策略

云防火墙内置了威胁检测引擎(IPS)实现入侵防御的功能,可实时拦截入侵行为。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择攻击防护 > 防护配置
  3. 防护配置页面,配置威胁引擎运行模式、入侵防御白名单、威胁情报、智能防御、基础防御和虚拟补丁。
    配置项 说明 操作
    威胁引擎运行模式 威胁引擎可选择以下两种模式:
    • 观察模式:开启观察模式,对恶意流量监控并告警。
    • 拦截模式:开启拦截模式,对恶意流量拦截,阻断入侵活动。
      针对您的防护需求,选择不同严格程度的拦截模式:
      • 拦截模式-宽松:防护粒度较粗,主要覆盖低误报规则,适合业务对误报要求高的场景。
      • 拦截模式-中等:防护粒度较宽松,介于宽松和严格之间,精准度较高,适合日常运维的常规防护场景。
      • 拦截模式-严格:防护粒度精细,覆盖全量规则,相比中等规则组可能误报更高,适合对安全防护漏报要求高的场景。
      重要 云防火墙服务开通后,威胁引擎默认启用拦截模式。具体开启哪种程度的拦截模式,云防火墙会根据您流量的实际情况判断和默认选择。只有开启拦截模式后,威胁情报、基础防御和虚拟补丁功能才会开启相应的威胁拦截。如未开启拦截模式,入侵防御功能只会对各类威胁和恶意流量进行监控。
    配置威胁引擎模式
    防护白名单 云防火墙将您确定为可信的IPv4和IPv6内外双向流量的目的IP地址、源IP地址添加到防护白名单。添加到防护白名单中IP的流量不会被基础防护和虚拟补丁规则拦截。防护白名单不支持威胁情报。 配置入侵防御白名单。具体操作,请参见高级设置
    威胁情报 云防火墙可扫描侦查威胁情报,并提供中控情报阻断。

    威胁情报可将阿里云全网检测到的恶意IP同步到云防火墙,例如恶意访问源、扫描源、暴力破解的源IP等,并对其精准拦截,可提前感知网络威胁源。

    配置威胁情报。具体操作,请参见高级设置
    基础防御 云防火墙默认为您开启部分常见威胁相关的检测规则。

    基础防御可提供基础的入侵防御能力,包括暴力破解拦截、命令执行漏洞拦截、对被感染后连接C&C(命令控制)的行为管控,可为您的资产提供基础的防护能力。建议您开启基础防御。

    配置基础防御。具体操作,请参见高级设置
    智能防御 云防火墙可以学习云上攻击数据,提高威胁和攻击的识别准确率。

    目前智能防御仅支持观察模式。

    配置智能防御。具体操作,请参见高级设置
    虚拟补丁 云防火墙可为您实时防护热门的高危漏洞和应急漏洞。

    虚拟补丁针对可被远程利用的高危漏洞和应急漏洞,在网络层提供热补丁,实时拦截漏洞攻击行为,避免修复主机漏洞时对业务产生的中断影响。

    说明 仅云防火墙企业版和旗舰版支持自定义设置虚拟补丁规则。
    配置虚拟补丁。具体操作,请参见高级设置

步骤三:查看网络流量分析

通过流量分析,您可以实时查看主机发生的主动外联、公网暴露、VPC互访的详细信息,进行流量可视化管理,排查异常流量。

流量分析是配置访问控制策略的基础。建议您在配置访问控制策略前全面了解您资产的流量情况。

主动外联

网络资产开启云防火墙开关后,主动外联页面向您实时展示主机的主动外联数据,帮助您及时发现可疑主机。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择流量分析 > 主动外联
  3. 主动外联页面,您可以查看资产指定时间范围的主动外联情况。
    具体操作,请参见主动外联

公网暴露

云防火墙的互联网访问活动为您统计资产入方向正常流量和异常流量的概览信息,包括入方向流量的开放应用、开放端口、开放公网IP地址和入方向流量访问的云产品信息。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择流量分析 > 公网暴露
  3. 公网暴露页面,查看IP流量排行表、全部流量趋势图及互联网访问活动详情。
    具体操作,请参见公网暴露

VPC互访

VPC互访统计VPC专有网络之间的流量信息,帮助您实时获取VPC网络流量信息,及时发现和排查异常流量,从而更快地发现和检测出攻击。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择流量分析 > VPC互访
  3. VPC互访页面,查看VPC间流量访问、VPC间会话Top排行、流量访问的开放端口和资产等信息。
    具体操作,请参见VPC访问活动

步骤四:配置访问控制策略

云防火墙支持对内网访问外网的流量、内网之间互访的流量和外网访问内网的流量进行精准的访问控制,降低资产被入侵的风险。

互联网边界防火墙(内外双向流量)

互联网边界防火墙支持对Web资产的出、入流量访问控制。您可以在云防火墙中配置访问控制策略,限制Web资产和互联网之间的未授权访问。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制 > 互联网边界防火墙
  3. 配置互联网边界防火墙访问控制策略。
    • 对内网访问互联网的流量进行管控

      互联网边界防火墙页面,创建内对外策略。具体操作,请参见互联网边界防火墙(内外双向流量)

      重要
      • 除开放有必要的主动外联访问以外,建议您将其他内对外流量全部设置为拒绝
      • 内对外策略的源地址为私网地址时,请确认已创建NAT防火墙,否则内对外策略不会生效。相关信息,请参见创建NAT防火墙
    • 对互联网访问内网的流量进行管控

      互联网边界防火墙页面,创建外对内策略。具体操作,请参见互联网边界防火墙(内外双向流量)

      重要 仅云防火墙企业版和旗舰版支持主机边界防火墙功能。

VPC边界防火墙

VPC边界防火墙可用于检测和控制两个VPC间的通信流量,默认放行所有流量。在对两个VPC之间的流量管控时,您需要拒绝可疑流量或恶意流量,或者先放行可信流量,再拒绝其他地址的访问。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制 > VPC边界防火墙
  3. VPC边界防火墙页面,配置VPC边界防火墙访问控制策略。
    说明云防火墙企业版、旗舰版支持VPC边界防火墙。

    具体操作,请参见VPC边界防火墙

主机边界防火墙(ECS实例间)

主机边界防火墙可以对ECS实例间的入流量和出流量进行访问控制,限制ECS实例间的未授权访问。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制 > 主机边界防火墙
  3. 主机边界防火墙页面,配置主机边界防火墙访问控制策略。
    具体步骤,请参见主机边界防火墙(ECS实例间)

步骤五:处理异常事件

根据您的配置,如果出现异常事件。您可以结合流量分析和攻击防护功能,定位并处理异常事件。云防火墙对于未处理的异常事件保留30天。