本文介绍使用云防火墙前的常见问题解决方案。
功能特性相关
按量付费版相关
防护范围相关
与其他云产品的关系
为什么使用云防火墙需要授予服务关联角色(AliyunServiceRoleForCloudFW)?
您授权云防火墙访问当前阿里云账号下的云资产,例如云服务器ECS(Elastic Compute Service)实例列表、专有网络VPC(Virtual Private Cloud)实例列表、负载均衡SLB(Server Load Balancer)实例列表等,才能在云防火墙控制台看到云资产的流量请求和响应情况,以及云资产之间的私网业务访问情况,并根据这些数据的分析结果配置访问控制策略。
您只有使用阿里云账号或拥有管理访问控制权限(AliyunRAMFullAccess)的RAM用户身份,才能授权云防火墙访问云资源。关于授权的具体操作,请参见授权云防火墙访问云资源。
如何关闭云防火墙按量版?
登录云防火墙控制台。在总览页面右上角,单击自助释放。具体信息,请参见释放实例。
为什么关闭云防火墙按量付费版后还在扣费?
云防火墙按量付费版以天为单位计费,次日统计前一天的费用并从账户中扣除相应费用。即当日关闭的云防火墙按量版,次日还会推送一次账单。具体信息,请参见按量付费。
如何查看云防火墙按量付费流量使用明细?
登录云防火墙控制台。在 页面,查看按量付费流量使用明细。具体操作,请参见查看流量使用明细。
云防火墙按量付费版怎么收费?
云防火墙按量付费版按照实际用量结算,最小粒度为小时,次日统计前一天的费用并从账户中扣除相应费用。云防火墙按量付费版的费用计算公式:每日账单费用=每日产生的公网IP配置费+每日产生的流量处理费。具体信息,请参见按量付费。
如果您购买了按量节省套餐包,会按照购买的折扣进行抵扣。具体内容,请参见按量节省套餐包。
如何将云防火墙包年包月版转按量付费版,有什么影响?
云防火墙包年包月版不允许直接转换为按量版。如果需要将包年包月版转换为按量版,您可以释放包年包月版后,重新购买云防火墙按量版。
具体操作和释放包年包月版的注意事项,请参见包年包月版转按量版。
如何将云防火墙按量付费版转包年包月版,有什么影响?
您可以根据业务需要,将云防火墙的计费模式由按量付费平滑转换为包年包月模式。具体操作和注意事项,请参见升级和降配。
什么是云防火墙按量节省套餐,如何使用?
按量节省套餐包是云防火墙推出的一种折扣权益计划,您可以通过承诺在一定期限内消费一定的金额,来换取较低的按量付费折扣。您的承诺消费金额越大,享受的折扣越大,可节省更多成本。具体信息和操作步骤,请参见按量节省套餐包。
云防火墙按量版和包年包月版有什么区别?
云防火墙是否支持防护L2 EIP?
支持。云防火墙支持防护的资产范围,请参见什么是云防火墙。
云防火墙是否支持防护经典网络?
仅支持经典网络中存在公网IP的ECS实例和部分SLB。主机边界防火墙支持防护VPC间的流量,不支持防护经典网络。
云防火墙是否支持对公网SLB的访问?
阿里云提供公网和私网两种类型的负载均衡(SLB)服务。由于历史网络架构的原因,部分公网SLB不支持云防火墙引流,推荐您采用私网SLB加EIP的方案,将流量牵引到云防火墙上进行防护。
采用云防火墙后,数据从云防火墙流入DNAT(EIP),再流入私网SLB。
云防火墙是否支持对高速通道(专线VBR)和云企业网的访问控制?
支持。具体说明如下:
高速通道场景下,目前只支持同地域VPC和VPC互访的防护,不支持VPC和VBR互访的防护。
云企业网场景下,支持VPC和VPC、VPC和VBR之间互访的防护。
如果需要云防火墙防护跨地域的VPC间互访或者VPC和VBR互访的流量,您需要将高速通道对等连接的专有网络VPC(Virtual Private Cloud)平滑迁移至云企业网。相关内容请参见已使用对等连接的VPC迁移至云企业网。
云防火墙是否有抗APT攻击的能力?
有。云防火墙内置的威胁情报功能具备防范APT攻击的能力。
互联网边界防火墙是否支持防护访问公网VPN的流量?
不支持。如果您从互联网访问公网VPN,该流量会被VPN加密,互联网边界防火墙无法对加密流量进行检测防护。
VPC边界防火墙是否支持防护通过IPsec-VPN访问VPC的流量?
首先需要明确您的网络部署情况,VPC边界防火墙是否支持防护分以下三种情况:
第一种:如果您的网络中IPsec-VPN通过绑定云企业网转发路由器的方式部署,将IPsec-VPN与业务VPC的网络打通。这种情况下VPC边界防火墙支持防护。
例如网络部署如下,VPC边界防火墙支持防护企业办公网与业务VPC之间的流量。
第二种:如果您的网络中IPsec-VPN通过绑定VPN网关的方式部署在业务VPC内,且业务中存在跨VPC访问的流量(CEN、VPC对等连接)。这种情况下,云防火墙支持防护跨业务VPC访问的流量。
例如网络部署如下,VPC边界防火墙不支持防护企业办公网到IPsec-VPN所在VPC之间的流量,但是支持企业办公网与其他业务VPC(与IPsec-VPN所在VPC网络打通的其他VPC)之间的流量。
如果您的业务必须防护通过IPsec-VPN访问其他业务VPC的流量,可以对网络进行改造,将IPsec-VPN部署到一个单独的VPC上,这样云防火墙就可以防护IPsec-VPN所在VPC到其他业务VPC的流量。
第三种:如果您的网络中IPsec-VPN通过绑定VPN网关的方式部署在业务VPC内,业务中不存在跨VPC访问的流量。这种情况下VPC边界防火墙不支持防护。
例如网络部署如下,VPC边界防火墙不支持防护企业办公网与业务VPC之间的流量。
哪些流量会占用云防火墙的防护带宽?
云防火墙的防护带宽包含公网流量处理能力、VPC流量处理能力、NAT私网流量处理能力。具体信息,请参见云防火墙购买页。
云防火墙在阿里云网络中的位置是什么?
下图展示了部分阿里云产品(包括云防火墙)的逻辑关系。
同时使用DDoS、WAF、云防火墙,业务流量如何走向?
同时使用了DDoS、WAF(CNAME接入)、云防火墙,则业务的流量走向为:
DDoS->WAF->云防火墙->后台服务
同时使用了DDoS、WAF(云产品接入)、云防火墙,则业务的流量走向为:
DDoS->云防火墙->WAF->后台服务
金融云基础版云防火墙与其他版本有哪些差异?
当您有如下需求时,可以将金融云基础版云防火墙升级到云防火墙的公有云高级版、企业版、旗舰版:
期望了解云上业务对外开放了哪些公网IP和端口,应用开放的IP和端口有什么风险。
有等保需求,需要保持6个月以上的日志。
有基于域名的访问控制需求,期望对失陷主机的主动外联进行控制,控制只允许对外访问某些域名和IP。
有FTP、MQTT动态端口协议的应用,需要基于应用进行访问控制。
除了杭州金融云,还有其他地域的资源需要通过云防火墙防护。
关于云防火墙版本升级的方法,请参见升级和降配。
不同的版本支持的功能不同,您可以单击某个版本,在版本描述下查看当前版本的功能说明。更多信息,请参见功能特性。
您可以参考以下表格,对比金融云基础版云防火墙与其他商业化版本差异点。
其中
支持的功能 | 描述 | 金融云基础版 | 高级版 | 企业版 | 旗舰版 |
防火墙 | 基于IP+端口的访问控制 | ||||
基于应用的访问控制 | |||||
基于域名的访问控制 | |||||
主动外联活动检测 | |||||
入侵检测 | IPS基础检测 | ||||
虚拟补丁 | |||||
威胁情报 | |||||
网络活动 | 互联网访问活动分析 | ||||
主动外联活动 | |||||
入侵检测活动 | |||||
IPS阻断分析 | |||||
全量活动搜索 | |||||
日志 | 支持安全日志、流量日志和操作日志,存储6个月 | ||||
业务可视 | 安全组可视 | ||||
自定义分组 | |||||
应用分组可视 | |||||
支持的地域 | 支持区域 | 仅杭州地域 | 请参见支持的地域 | 请参见支持的地域 | 请参见支持的地域 |
性能 公有云版本可扩展的规格详情,请参见包年包月。 | 防火墙支持防护的公网IP数量 | 默认20个,可扩展 | 默认50个,可扩展 | 默认400个,可扩展 | |
公网流量处理能力(公网方向可防护的流量峰值,入向出向取其高) | 默认10 Mbps,可扩展 | 默认50 Mbps,可扩展 | 默认200 Mbps,可扩展 | ||
可防护的VPC边界防火墙数 | 默认2个,可扩展 | 默认5个,可扩展 | |||
VPC流量处理能力(可防护的VPC间的总流量峰值) | 默认200 Mbps,可扩展 | 默认1,000 Mbps,可扩展 | |||
可防护的NAT防火墙数 | 默认0个,可扩展 | 默认1个,可扩展 | 默认2个,可扩展 | ||
NAT私网流量处理能力 | 默认0 Mbps,可扩展 | 默认10 Mbps,可扩展 | 默认20 Mbps,可扩展 | ||
支持最大策略数 | 1000 | 互联网边界防火墙策略授权规格:默认4,000个,可扩展 |
|
|
云防火墙最多支持几个跨账号部署?
云防火墙高级版、企业版、旗舰版支持统一账号管理功能(即跨账号部署)。关于各版本支持的管控数,请参见计费说明。如果您需要添加更多的成员账号,需要升级云防火墙规格,扩充多账号管控数。具体操作,请参见升级和降配。
云防火墙支持公网SLB主要覆盖哪些防护场景?
云防火墙现已全面支持新一代公网SLB架构,提供全面的云端公网SLB防护。如果您已购买阿里云防火墙产品,可登录云防火墙控制台开启防护开关,提升整体网络安全能力。此外,云防火墙为公网SLB架构的互联网访问提供入侵防御和访问控制:
入侵防御(IPS):提供快速部署的虚拟补丁,防护0-day和其他突发高风险漏洞,无需重启或安装补丁即可阻止漏洞遭到黑客攻击。
访问控制:实施细致的互联网访问管控,支持HTTP和HTTPS等应用,同时提供特定IP、端口和协议的限制,特别是TCP业务的访问控制,并能限定访问源区域,如只允许来自特定地区的访问,确保业务运行更加可靠和安全。
相比客户自建防火墙,阿里云云防火墙有哪些优势?
阿里云云防火墙提供了一个易于操作且即开即用的解决方案,它能统一管理南北向和东西向的网络流量,全方位确保云上网络的安全。相比于自建防火墙,阿里云云防火墙有以下优势:
托管服务:自建防火墙设备授权根据VPC数量增加,通过路由方式进行配置和设备同步,增加更多网络侧故障点的同时,带来了更复杂的安全控制与管理开销。云防火墙由阿里云托管提供,无需部署任何设备。通过在控制台简单的设置,秒级接入,有效降低网络安全管控运维成本。
高可用和弹性扩展:自建防火墙高可用与性能强依赖于虚拟设备,云防火墙采用了集群部署的模式,支持性能的平滑扩展,无需关注高可用、扩容或接入等问题。通过双可用区部署,任意一台服务器或者任意一个AZ故障时都不会导致云防火墙故障。
云服务深度集成:云防火墙原生整合阿里云各类网络服务(如VPC、CEN、EIP、SLB等),通过在网络层面控制对云资产的访问,联动终端安全能力,解决对云资产的异常访问问题。
入侵防御和威胁情报:云防火墙内置威胁检测引擎,可同步更新全网威胁情报,对超过500万的活跃恶意IP与域名条目进行监控,实现对来自互联网的威胁进行实时检测和阻断。
云防火墙互联网边界核心防御功能有哪些?
互联网边界防火墙检测互联网和云上公网IP资产间的通信流量。开通云防火墙服务后,可以为您提供以下防御功能:
盘点资产:云防火墙互联网分析资产入向和出向正常流量和异常流量,包括开放应用、开放端口、开放公网IP地址和流量访问的云产品信息。
防护入侵:云防火墙内置了威胁检测引擎,可对互联网上的恶意流量入侵活动和常规攻击行为进行实时检测和拦截,结合威胁情报,智能阻断入侵风险。
封禁域名:网络资产开启云防火墙开关后,主动外联实时分析主机的主动外联数据,及时发现可疑主机。通过基于域名或IP的访问控制,实现对公网访问的封禁。
抵挡漏洞:对于可被远程利用的高危漏洞,云防火墙提供了虚拟补丁的能力,帮助客户在无法安装补丁或重启系统的情况下,实现对漏洞的自动化防御。
如何通过Web应用防火墙和云防火墙,有效管理互联网暴露面?
狭义的互联网暴露面是暴露在互联网的已知或未知资产,包括但不限于IP、端口、域名、应用、API接口等,企业接入网络的资产数量快速增长,互联网暴露面的风险增加,而互联网暴露面越多越大,企业面临的威胁就越大,有效管理互联网暴露面是安全运营和管理工作的基本要求。
业务应用资产的管理:各类业务系统平台逐年增多,可能存在员工自建站点,测试环境或API未及时回收等情况。这些资产可能使用了低版本的开源系统、组件、Web框架,开放了超过业务需求的访问权限,攻击者可以利用这些资产作为“跳板”绕过企业的网络边界防护。Web应用防火墙资产识别通过获取阿里云证书、云解析、Web应用防火墙、万网等产品的配置信息,结合大数据关联分析能力,提供全局资产视角,避免在安全防护中出现资产疏漏,提高整体安全防护水位线。
网络资产的管理:企业业务的高速发展,云上IP数量逐年增多。由于疏于管理,这些IP可能开放了超过业务需求的端口和服务。云防火墙帮助检测互联网和云上公网IP资产间的通信流量,关闭不必要的IP、端口暴露,通过配置访问控制策略,对互联网访问进行精细化的访问控制。
为什么使用CEN-TR的客户,有着相对更强的云防火墙需求?
随着越来越多的业务上云,企业云上网络可能规划多个跨地域的VPC,通过云企业网 CEN(Cloud Enterprise Network)帮助用户构建一张高性能、低延迟的跨地域多个VPC以及云上VPC与线下IDC互联的高可用网络,实现多样化的组网和管理需求。
所以企业版转发路由器(CEN-TR)的客户大会存在如下需求:
多业务跨VPC、混合云的网络管控需求:由于不同VPC的业务等级和安全等级不同,但是业务互访需要将多VPC有条件的联通,从网络杀伤链攻击者横向渗透的角度,企业需要合理规划和设计云上跨VPC以及云上VPC和云下IDC的网络访问控制和防护策略。跨VPC网络安全管理、云上VPC到云下IDC边界管控的复杂度与企业VPC数量、上云业务规模等有着很大的关联。CEN-TR扩大了支持的VPC数量,云上东西向网络管理复杂度提升,客户对云上高效的东西向精细化管控需求更强。
合规需求:大型企业级客户上云,大多面临等保、ISO27001等合规需求,对网络安全访问控制策略提出了要求,例如,等保云计算安全扩展提到应在不同等级的网络区域边界部署访问控制机制,实现基于会话和应用的访问控制,这些要求需要云防火墙企业版的东西向网络管控/防护能力。