云防火墙(Cloud Firewall)是您业务上云后的安全防护组件,支持全网流量识别、统一策略管控、入侵检测等核心功能。云防火墙不仅可以防护从互联网到业务的访问流量,同时还能控制业务到互联网的主动外联访问,并对业务和业务间的访问进行控制。本文介绍如何使用云防火墙

前提条件

已购买云防火墙。具体操作,请参见购买服务

步骤一:开启云防火墙

云防火墙是互联网边界防火墙、VPC边界防火墙、主机边界防火墙、NAT防火墙和DNS防火墙的统称。云防火墙开启后,如果您未配置任何访问控制策略,或者未开启拦截模式的威胁引擎,云防火墙将无法为您的业务流量提供安全防护。

开启云防火墙后,就会产生相应的费用。具体介绍,请参见按量付费。您也可以通过包年包月,提前预留资源,同时享受更低的价格,帮助您更大程度节省支出。具体介绍,请参见包年包月

  1. 登录云防火墙控制台
  2. 在左侧导航栏,单击防火墙开关
  3. 根据业务需要,开启云防火墙开关。
    防火墙类型说明操作
    互联网边界防火墙对互联网和公网IP资产间的通信流量统一管控。开启互联网边界防火墙。具体操作,请参见互联网边界防火墙
    VPC边界防火墙对专有网络VPC(Virtual Private Cloud)之间、VPC和本地数据中心之间的流量统一管控。
    说明 由于仅云防火墙企业版和旗舰版支持VPC边界防火墙,如果您开通的是云防火墙基础版(即免费版本)或高级版,您在防火墙开关页面将无法看到VPC边界防火墙页签。
    开启VPC边界防火墙。具体操作,请参见VPC边界防火墙
    主机边界防火墙对ECS实例间的入流量和出流量进行访问控制,限制ECS实例间的未授权访问。
    说明 主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。无需您单独开启主机边界防火墙。
    配置主机边界防火墙的访问控制策略。具体操作,请参见主机边界防火墙(ECS实例间)
    NAT防火墙对私网IP访问公网的流量进行访问控制和防护。NAT防火墙目前处于邀测阶段,请联系商务经理开启。
    DNS防火墙对VPC访问互联网上指定的域名进行精细管控。DNS防火墙目前处于邀测阶段,请联系商务经理开启。
    开启或关闭防火墙后,防火墙状态更新为保护中(表示防火墙的防护已生效)或未受保护(表示防火墙的防护已关闭)。防火墙状态更新可能需要数秒时间,请耐心等待。

步骤二:配置入侵防御策略

云防火墙内置了威胁检测引擎(IPS)实现入侵防御的功能,可实时拦截入侵行为。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择攻击防护 > 防护配置
  3. 防护配置页面,配置威胁引擎运行模式、入侵防御白名单、威胁情报、智能防御、基础防御和虚拟补丁。
    配置项说明操作
    威胁引擎运行模式威胁引擎可选择以下两种模式:
    • 观察模式:开启观察模式,对恶意流量监控并告警。
    • 拦截模式:开启拦截模式,对恶意流量拦截,阻断入侵活动。
      针对您的防护需求,选择不同严格程度的拦截模式:
      • 拦截模式-宽松:防护粒度较粗,主要覆盖低误报规则,适合业务对误报要求高的场景。
      • 拦截模式-中等:防护粒度较宽松,介于宽松和严格之间,精准度较高,适合日常运维的常规防护场景。
      • 拦截模式-严格:防护粒度精细,覆盖全量规则,相比中等规则组可能误报更高,适合对安全防护漏报要求高的场景。
      说明 云防火墙服务开通后,威胁引擎默认启用拦截模式。具体开启哪种程度的拦截模式,云防火墙会根据您流量的实际情况判断和默认选择。只有开启拦截模式后,威胁情报、基础防御和虚拟补丁功能才会开启相应的威胁拦截。如未开启拦截模式,入侵防御功能只会对各类威胁和恶意流量进行监控。
    配置威胁引擎模式
    防护白名单云防火墙将您确定为可信的IPv4和IPv6内外双向流量的目的IP地址、源IP地址添加到防护白名单。添加到防护白名单中IP的流量不会被基础防护和虚拟补丁规则拦截。防护白名单不支持威胁情报。配置入侵防御白名单。具体操作,请参见高级设置
    威胁情报云防火墙可扫描侦查威胁情报,并提供中控情报阻断。

    威胁情报可将阿里云全网检测到的恶意IP同步到云防火墙,例如恶意访问源、扫描源、暴力破解的源IP等,并对其精准拦截,可提前感知网络威胁源。

    配置威胁情报。具体操作,请参见高级设置
    基础防御云防火墙默认为您开启部分常见威胁相关的检测规则。

    基础防御可提供基础的入侵防御能力,包括暴力破解拦截、命令执行漏洞拦截、对被感染后连接C&C(命令控制)的行为管控,可为您的资产提供基础的防护能力。建议您开启基础防御。

    配置基础防御。具体操作,请参见高级设置
    智能防御云防火墙可以学习云上攻击数据,提高威胁和攻击的识别准确率。

    目前智能防御仅支持观察模式。

    配置智能防御。具体操作,请参见高级设置
    虚拟补丁云防火墙可为您实时防护热门的高危漏洞和应急漏洞。

    虚拟补丁针对可被远程利用的高危漏洞和应急漏洞,在网络层提供热补丁,实时拦截漏洞攻击行为,避免修复主机漏洞时对业务产生的中断影响。

    说明 仅云防火墙企业版和旗舰版支持自定义设置虚拟补丁规则。
    配置虚拟补丁。具体操作,请参见高级设置

步骤三:查看网络流量分析

通过流量分析,您可以实时查看主机发生的主动外联、公网暴露、VPC互访的详细信息,进行流量可视化管理,排查异常流量。

流量分析是配置访问控制策略的基础。建议您在配置访问控制策略前全面了解您资产的流量情况。

主动外联

网络资产开启云防火墙开关后,主动外联页面向您实时展示主机的主动外联数据,帮助您及时发现可疑主机。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择流量分析 > 主动外联
  3. 主动外联页面,您可以查看资产指定时间范围的主动外联情况。
    数据说明支持的操作
    外联域名统计业务主动访问互联网域名时,存在风险的域名数量和全部域名的数量。

    单击外联域名外联目的IP区域分别跳转到外联域名外联目的IP页签。

    您可以根据业务需要,对识别到有风险的域名或者目的IP执行如下操作,来保障您的资产安全。

    • 配置访问控制策略

      单击配置ACL策略,跳转到访问控制的互联网边界防火墙,配置出方向策略。具体操作,请参见互联网边界防火墙(出入双向流量)

    • 查看外联域名详情

      单击详情,在外联域名面板,查看外联域名的详细信息。

      EIP外联通过NAT的私网外联页签,查看外联ECS信息。单击查看日志,跳转到日志审计的流量日志页签。具体操作,请参见流量日志

    • 加入地址簿

      单击1图标,再单击加入地址簿,跳转到地址簿管理页面。具体操作,请参见地址簿管理

    • 标记为关注

      单击1图标,再单击标注为关注,将该条数据设置为重点关注。

    • 取消关注

      单击列表右上方的关注名单,在关注名单面板,对指定的目的域名、目的IP、公网资产IP、私网资产IP取消关注。

    • 加入白名单

      单击1图标,再单击加入白名单,将该条数据加入白名单,即不再分析该数据,该数据也不会出现在列表中。

    • 取消白名单

      单击列表右上方的白名单,在白名单面板,对目的域名或者IP取消加白,取消后,该数据会显示在列表中。

    • 查看日志

      单击1图标,再单击查看日志,跳转到日志审计的流量日志页签。具体操作,请参见流量日志

    外联目的IP统计业务主动访问互联网IP时,存在风险的目的IP的数量和全部目的IP的数量。
    公网外联资产统计业务通过公网IP(例如EIP)主动访问互联网时,发起有风险的资产数量和全部资产的数量。

    单击公网外联资产私网外联资产区域分别跳转到公网外联资产私网外联资产页签,查看详细信息。

    • 标记为关注

      单击标注为关注,将该条数据设置为重点关注。

    • 取消关注

      单击列表右上方的关注名单,在关注名单面板,对指定的目的域名、目的IP、公网资产IP、私网资产IP取消关注。

    • 查看日志

      单击查看日志,跳转到日志审计的流量日志页签。具体操作,请参见流量日志

    私网外联资产统计业务通过NAT网关主动访问互联网时,发起有风险的私网资产数量和全部私网资产的数量。
    外联协议统计业务通过应用协议主动访问互联网时,未识别协议和全部协议的数量及占比。单击外联协议区域跳转到外联协议页签,查看详细信息。

    查看日志:单击查看日志,跳转到日志审计的流量日志页签。具体操作,请参见流量日志

公网暴露

云防火墙的互联网访问活动为您统计资产入方向正常流量和异常流量的概览信息,包括入方向流量的开放应用、开放端口、开放公网IP地址和入方向流量访问的云产品信息。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择流量分析 > 公网暴露
  3. 公网暴露页面,查看IP流量排行表、全部流量趋势图及互联网访问活动详情。
    数据说明支持的操作
    开放公网IP统计开放公网IP的总数量和对应存在风险项的数量。查看访问公网IP的流量数据:单击操作访问详情,在开放公网IP面板,查看访问该公网IP的详细信息,帮助您识别出恶意行为的流量。
    开放端口统计开放端口的总数量和对应的风险项数量。查看访问开放端口的流量数据:单击操作访问详情,在开放端口面板,查看访问该开放端口的详细信息,帮助您识别出恶意行为的流量。
    开放应用统计开放应用的总数量和对应的风险项数量。查看访问开放应用的流量数据:单击操作访问详情,在开放应用面板,查看访问该应用的详细信息,帮助您识别出恶意行为的流量。
    明细展示所有资产的流量数据。查看所有资产类型的流量数据:单击操作访问详情,在明细面板,查看访问目标资产的详细信息,帮助您识别出恶意行为的流量。
    云产品统计入方向的流量访问云产品的公网IP数量。

VPC互访

VPC互访统计VPC专有网络之间的流量信息,帮助您实时获取VPC网络流量信息,及时发现和排查异常流量,从而更快地发现和检测出攻击。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择流量分析 > VPC互访
  3. VPC互访页面,查看VPC间流量访问、VPC间会话Top排行、流量访问的开放端口和资产等信息。
    数据说明支持的操作
    VPC间流量统计专有网络VPC入方向、出方向流量的峰值和均值数据,并展示入方向、出方向流量数据趋势图。查看流量Top排行信息:在流量数据趋势图上,单击目标时间点,在流量Top排行区域展示该时间点的Top流量信息。
    流量Top排行默认统计所有流量中排名前10、20或50的数据,包括流量的IP地址、流入和流出详情。查看日志:定位到目标IP,单击操作查看日志,跳转到VPC边界流量日志页面,查看目标VPC的日志详情。
    VPC间会话Top排行统计VPC间会话的流量排行数据,包括流量排行、IP会话、IP会话数、流量、端口和占比详情。 查看端口占比的详细信息:定位到目标IP会话数据,单击查看占比列的查看,在开放端口占比区域查看该会话中端口占比的详情。
    开放端口占比默认统计所有开放端口占比详情。
    开放端口统计VPC间流量访问的开放端口数据,包括本端开放端口、协议、应用、访问流量、请求次数、本端资产IP、风险评估详情。查看开放端口详情:定位到目标本端开放端口,单击操作查看详情,在端口访问详情面板查看该端口的详细信息。

    查看日志信息:在端口访问详情面板,定位到目标对端源IP,单击操作查看日志,跳转到VPC边界流量日志页面,查看目标IP的日志详情。

    说明 单击列表右上角的下载图标,将开放端口数据以CSV格式下载到本地计算机,方便您对数据进行查看和分析。
    资产统计VPC间流量访问的资产数据,包括本端资产IP、本端实例ID、本端端口、访问流量、请求次数、风险评估详情。查看资产访问详情:定位到目标本端资产IP,单击操作查看详情,在资产访问详情面板,查看该资产的详细信息。

    查看日志信息:在资产访问详情面板,定位到目标对端源IP,单击操作查看日志,跳转到VPC边界流量日志页面,查看目标IP的日志详情。

    说明 单击列表右上角的下载图标,将资产数据以CSV格式下载到本地计算机,方便您对数据进行查看和分析。

步骤四:配置访问控制策略

云防火墙支持对内网访问外网的流量、内网之间互访的流量和外网访问内网的流量进行精准的访问控制,降低资产被入侵的风险。

互联网边界防火墙(出入双向流量)

互联网边界防火墙支持对Web资产的出、入流量访问控制。您可以在云防火墙中配置访问控制策略,限制Web资产和互联网之间的未授权访问。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制 > 互联网边界
  3. 配置互联网边界防火墙访问控制策略。
    • 对内网访问互联网的流量进行管控(出方向)

      互联网边界防火墙页面,创建出方向策略。您需要先创建一条出方向的访问控制策略,先对可信的内部源IP放行,将优先级设置为最前。然后创建第二条出方向的访问控制策略,拒绝其它所有访问源去访问外部互联网,将优先级设置为最后。若访问源、目的源、端口有多个,可使用地址簿或创建多条访问控制策略。更多信息,请参见访问控制策略配置示例

      重要
      • 除开放有必要的主动外联访问以外,建议您将其他出方向流量全部设置为拒绝
      • 出方向策略的源地址为私网地址时,请确认已创建NAT防火墙,否则出方向策略不会生效。相关信息,请参见创建NAT防火墙
    • 对互联网访问内网的流量进行管控(入方向)

      互联网边界防火墙页面,创建入方向策略。您需要先创建一条入方向的访问控制策略,先对可信的外部源IP放行,将优先级设置为最前。然后创建第二条入方向的访问控制策略,拒绝其它所有访问源去访问内部网络,将优先级设置为最后。若访问源、目的源、端口有多个,可使用地址簿或创建多条访问控制策略。更多信息,请参见访问控制策略配置示例

    配置项说明
    源类型选择访问源的类型。可选项:
    • IP
    • 地址簿
    • 区域(仅入方向策略支持选择区域)
    访问源设置访问流量的来源地址:
    • 选择IP作为源类型时,支持输入单个或者多个IP地址,多个IP地址需使用半角逗号(,)隔开,最多可添加2000个IP。
    • 选择地址簿作为源类型时,您可以单击目标地址簿操作列的选择,选择目标地址簿作为访问源

      地址簿是您预先配置的IP地址簿,是多个IP地址段的组合,便于您在配置策略时对多个IP地址管控。每次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。

    • 选择区域(仅入方向策略支持选择区域)作为源类型时,您可以在区域下拉框中选择1个区域或者多个区域。目前已支持中国全部区域,以及全部国际区域。
    目的类型

    访问流量的目的地址类型。可选择IP地址簿域名区域。其中域名和区域仅出方向策略支持。

    目的设置接收流量的目的地址。
    • 目的类型选择IP时,支持输入单个或者多个IP地址,多个IP地址需使用半角逗号(,)隔开,最多可添加2000个IP。
    • 目的类型选择地址簿时,您可单击指定地址簿右侧的选择按钮,选择该地址簿作为目的
    • 目的类型选择域名(仅出方向策略支持选择域名)时,云防火墙将自动为您解析该域名地址,并对该解析到的地址进行访问控制。
    • 目的类型选择区域(仅出方向策略支持选择区域)时,请您选择流量的目的地址所在的区域。可选中国区域或国际区域。
    协议类型设置该内到外访问流量的协议类型。当前支持配置的协议类型有:TCPUDPICMPANY。不确定具体协议类型时可选择ANY
    端口类型您可以选择以下端口地址类型:
    • 端口:支持输入单个或者多个端口,多个端口需使用半角逗号(,)隔开,最多可添加2000个端口。
    • 地址簿:是指您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。
    端口设置需要放开或限制的端口。可根据端口类型的配置项,手动输入端口,或者单击指定地址簿右侧的选择,从地址簿中选择预先配置的端口地址簿
    应用设置该内到外访问流量的应用类型。

    支持多种应用类型,具体应用类型请参见云防火墙控制台的互联网边界防火墙页面。

    协议类型选择TCP时,您可以选择任意应用类型;如选择其他类型协议,应用类型只能设置为ANY

    目的使用域名地址簿或泛域名时,您只能选择HTTP、HTTPS、SMTP、SMTPS或SSL。

    说明 识别应用依赖应用报文特征(协议识别不依据端口),应用识别失败时,该会话流量会被放行。如果您想拦截未知应用类型的流量,建议您开启互联网边界防火墙严格模式。更多信息,请参见互联网边界防火墙-严格模式
    动作设置允许或拒绝该流量通过互联网边界防火墙。本示例中选择放行
    • 放行:允许访问。
    • 拒绝:禁止访问,并且不会提供任何形式的通知信息。

      如果需要拒绝所有访问源访问外部互联网,将访问源地址设置为0.0.0.0/0,动作设置为拒绝,禁止所有未授权的访问。

    • 观察:设置为观察模式后仍允许源到目的访问。观察一段时间后,您可根据需要调整为放行拒绝
    描述输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
    优先级选择该策略的优先级,默认为最后,表示优先级最低。
    • 最前:指访问控制策略生效的优先级最高,最先生效。
    • 最后:指访问控制策略生效的优先级最低,最后生效。
    启用状态设置策略是否启用。

VPC边界防火墙

VPC边界防火墙可用于检测和控制两个VPC间的通信流量,默认放行所有流量。您需要先创建一条VPC边界防火墙放行策略,先放行可信流量,将优先级设置为最前。然后创建第二条VPC边界防火墙拒绝策略,拒绝其它所有访问源去访问内部网络,将优先级设置为最后。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制 > VPC边界防火墙
  3. VPC边界防火墙页面,配置VPC边界防火墙访问控制策略。
    说明云防火墙企业版、旗舰版支持VPC边界防火墙。
    配置项说明
    源类型访问源地址的类型。可选值:
    • IP地址访问源地址类型为IP地址,需手动输入IP地址段。
    • 地址簿访问源地址类型为地址簿,需从预先设置的地址簿列表中选择一个地址簿。
      说明 您可以将多个IP设置成一个地址簿,方便您在配置访问控制规则时简化规则。
    访问源发送流量的源地址。
    • 选择IP作为源类型时,该源地址一定要设置成网段。
      说明 访问源只支持配置一个网段。
    • 选择地址簿作为源类型时,需要从地址簿列表中选择一个地址簿作为访问源。
      说明 您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
    目的类型您可以选择以下目的地址类型:
    • IP:目的地址设置为IP地址。
    • 地址簿:目的地址设置为地址簿。
    • 域名:目的地址设置为域名。支持设置为泛域名,例如:*.aliyun.com
    目的设置接收流量的目的地址。
    • 选择IP作为目的类型时,该目的地址一定要设置成网段。
      说明 目的地址只支持配置一个网段。
    • 选择地址簿作为目的类型时,您可单击指定地址簿操作栏的选择按钮,选择该IP地址簿作为目的地址。
      说明 您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
    • 选择域名作为目的类型时,可以配置为域名或泛域名,例如:*.aliyun.com
    协议类型您可选择以下协议:
    • ANY(任何协议)
    • TCP协议
    • UDP协议
    • ICMP协议
    端口类型您可以选择以下端口类型:
    • 端口:只支持设置单个端口。
    • 地址簿:是指您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。
    端口设置需要放开或限制的端口。可根据端口类型的配置项,手动输入单个端口,或者单击选择,从地址簿中选择预先配置的端口地址簿
    说明
    • 您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
    • 协议选择为ICMP,目的端口配置不生效。协议选择为ANY,对于ICMP流量做访问控制,目的端口配置不生效。
    应用当前支持配置的应用:ANY、HTTP、HTTPS、Memcache、MongoDB、MQTT、MySQL、RDP、Redis、SMTP、SMTPS、SSH和VNC。

    协议选择TCP时,支持配置不同的应用类型;如选择其他类型协议,应用类型只能设置为ANY

    说明 识别应用依赖应用报文的特征(协议识别不依据端口);应用识别失败时,该会话流量会被放行。
    动作允许或拒绝该流量通过VPC边界防火墙。 支持选择以下动作:
    • 放行:表示放行可信流量,允许其访问。
      说明 VPC边界防火墙默认对所有地址放行。
    • 拒绝:表示阻断可疑或恶意流量,拒绝其访问。并且不会提供任何形式的通知信息。
    • 观察:设置为观察模式后仍允许源到目的访问。观察一段时间后可根据需要调整为放行拒绝
    描述对访问控制策略进行描述或备注。输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
    优先级设置访问控制策略的优先级。默认优先级为最后。支持选择以下优先级:
    • 最后:指访问控制策略生效的顺序最低,最后生效。
    • 最前:指访问控制策略生效的顺序最高,最先生效。
    说明 云防火墙策略优先级修改后,该策略原优先级之后的策略优先级都将相应依次递减。

主机边界防火墙(ECS实例间)

主机边界防火墙可以对ECS实例间的入流量和出流量进行访问控制,限制ECS实例间的未授权访问。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。您需要先配置放行访问云上服务的策略,然后再配置拒绝所有来源、协议、端口和应用的策略。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制 > 主机边界防火墙
  3. 主机边界防火墙页面,配置主机边界防火墙访问控制策略。
    配置项说明
    策略组类型选择策略组的类型:
    • 普通策略组
    • 企业策略组
    策略组名称按页面提示要求设置策略组的名称。

    建议使用方便识别的名称,便于识别和管理。

    所属VPC所属VPC下拉列表中,选择应用该策略组的专有网络VPC。
    说明 每个策略组只能配置一个VPC。
    实例ID实例ID下拉列表中,选择应用该策略组的一个或多个ECS实例。
    说明 实例ID列表只包含所属VPC下的ECS实例。
    描述简短地描述策略组,方便后续对安全组进行管理。
    模板模板下拉列表中,选择要应用的模板类型:
    • default-accept-login:默认放行TCP 22、TCP 3389协议入方向访问和所有出方向访问。
    • default-accept-all:默认放行所有入方向和出方向访问。
    • default-drop-all:默认拒绝所有入方向和出方向访问。
      说明 企业策略组不支持default-drop-all选项。

步骤五:处理异常事件

根据您的配置,如果出现异常事件。您可以结合流量分析和攻击防护功能,定位并处理异常事件。云防火墙对于未处理的异常事件保留30天。