云防火墙是否支持经典网络?

南北向防火墙和威胁入侵检测(IPS)功能支持经典网络。东西向微隔离功能可支持VPC,不支持经典网络。

云防火墙是否支持中国以外的国际站点?

支持。目前,云防火墙支持中国内地和中国香港站点,支持的中国以外的国际站点包括马来西亚、新加坡、印度尼西亚。

云防火墙是否支持对公网SLB的访问?

阿里云提供公网和私网两种类型的负载均衡(SLB)服务。由于历史网络架构的原因,部分公网SLB不支持云防火墙引流,推荐您采用私网SLB加EIP的方案(详细内容请参见绑定EIP),将流量牵引到云防火墙上进行防护。下图展示了私网SLB绑定EIP场景下云防火墙防护网络流量的架构图和部分公网SLB无云防火墙防护的架构图对比。阿里云私网SLB防护架构图
说明 对于已使用了公网SLB的用户,云防火墙无法防护来自公网SLB的流量。不建议您自行对网络进行变更处理。如有任何需要,请联系SLB技术支持人员。

采用云防火墙后,数据流为:云防火墙–DNAT(EIP)–私网SLB。

是否支持对私网地址的出方向访问控制?

对于出方向的流量,只能针对DNAT或EIP的公网地址进行策略控制,无法对NAT前的私网源IP进行访问控制。

建议规避方案:如您需对某个私网地址单独做访问控制,建议您针对需要控制的私网源IP地址,单独绑定一个EIP,针对这个EIP做针对性的访问控制策略即可。

是否能针对IPSec的报文进行访问控制?

IPsec解密后的报文,南北向控制点无法防护。

规避方案:把IPsec解密的流量当做是东西向流量,采用云防火墙的东西向策略来控制。

是否支持对高速通道(专线VBR)的访问控制?

支持。云防火墙已支持和线下IDC(VBR)之间的高速通道访问控制。

网络流量中入方向应用Unknown占比不小,是产品无法识别外网的具体请求吗?

来自互联网的扫描流量很大,该类流量大部分不是标准协议故无法识别为已知协议,显示为Unknown

您可通过日志 > 流量日志日志 > 事件日志来观察Unknown流量的具体来源与用途。

网络流量分析的全量活动搜索结果中流量访问Top中为什么出现很多未知运营商?

来自中国以外地区的流量的出入方向地区只展示国家名称,如果出入方向存在很多来自中国以外的流量,运营商会被标识为未知。您可通过日志 > 流量日志观察到具体IP对应的地区与运营商。

网络流量中出方向应用Unknown占比不小,是否是防火墙不能识别的协议?

出方向的流量可能被目的服务器阻断,发送大量的rst回包,这类包会记录到出方向流量中,如果数量较大,则相应的Unknown占比也较大。遇到这类问题,您可通过日志 > 流量日志来观察Unknown流量,来确定是否是出方向流量业务上存在异常行为。