云防火墙可以帮助用户在云上实现业务隔离和防护,确保业务安全和满足合规要求,如果您在购买云防火墙不知道如何使用,本文将从业务介绍新手如何结合业务更好的使用云防火墙。
一.如何根据业务规划安全域
1.1了解熟悉VPC云网络
专有网络是您自己独有的云上私有网络。您可以完全掌控自己的专有网络,例如选择IP地址范围、配置路由表和网关等,您可以在自己定义的专有网络中使用阿里云资源如云服务器、云数据库RDS版和负载均衡等。
每个专有网络都由至少一个私网网段、一个路由器和至少一个交换机组成,如下图:
常见的云上网络架构如下:
关于VPC更多的网络介绍描述烦请您点击了解详细的VPC网络介绍了解。
1.2了解什么是安全域?
由于业务类型不同、网络规模、管理方便等多方面原因,一般企业上云后的安全域处于默认模式,这样就会导致随着业务的发展,业务网络架构变得混乱,比如开放了一些不必要的端口发布到互联网、内部通信访问权限太大,一旦入侵后会导致漫游影响所有业务,存在很大的安全风险。
网络安全域就像酒店一样,每个不同的入住客人可以入住不同的楼层和房间,互不干扰。在实际的IT业务环境中,数据库服务器与供客户访问的Web服务器显然就不是一个安全等级,测试环境的服务器与正式提供服务的生产服务器显然也不是一个安全等级,因此,我们要对响应的业务资产从业务功能、通信关系等方面进行安全域划分。
1.3如何设计安全域隔离业务?
一般企业业务,我们建议划分为生产网、开发测试网等不同的网络安全域。
业务分区安全设计:
设计原则:可靠、稳定、高效交互;
设计建议:
按业务维度分区(互联网业务、内部系统)
按系统维度分区(生产、开发测试、共享)
跨分区通过云企业网(CEN)搭配云防火墙实现策略管控
互联网出入安全设计:
设计原则:保证灵活性、弹性伸缩能力和安全性;
设计建议:
配置云防火墙管控进出流量(可搭配WAF)
(可选)配置独立DMZVPC或VSW,搭配EIP/SLB/NAT,提供互联网连接
云上业务互联安全设计:
设计原则:环境隔离,必要的连通同时保证安全;
设计建议:
配置云企业网(CEN),绑定VPC、专线(VBR)、CCN三种网络实例,实现一键接入、全球互联;
VPC内配置安全组策略,实现微隔离(可搭配云防火墙,实现策略统一管理)
针对大型的集团子公司业务
建议:
生产网安全域又会分为集团安全域、子分公司安全域等。
集团安全域又划分为生产网外网区、内网区和生产网DMZ区,生产内网安全域又会根据业务类型不同分为普通业务安全、核心业务安全域、数据库安全域域等。
针对一般的小型公司企业业务
建议:
根据业务类型、功能模块、网络通信关系等维度,划分为普通业务安全、核心业务安全域、数据安全域、DMA安全域(邮件系统、门户网站)等。
二.如何选择适合我的云防火墙版本
2.1云防火墙可以做什么?
阿里云云防火墙服务可统一管理互联网到业务的访问控制策略(南北向)和业务与业务之间的微隔离策略(东西向)的流量,提供流量监控、精准访问控制、实时入侵防御等功能,全面隔离、防护您的网络边界。
2.2如何根据业务选择合适的版本?
了解完以上关于安全域划分内容之后,我们可以开始选择适合我们的云防火墙版本和规格,高级版防火墙最少购买6个月,企业版和旗舰版可按年按月购买。
云防火墙版本可从要防护的公网IP数、防护VPC数量、多账号管控 (使用云防火墙对其他账号下的云资源进行防护)三个方面来判断选择,如下:
防护公网IP数 | 防护VPC数量 | 是否需要多账号管控 | 建议云防火墙版本 | 核心功能 |
1~1,000 | 无 | 否 | 按量版 |
|
20~1,000 | 无 | 否 | 高级版 | |
50~2,000 | 2~200 | 否 | 企业版 |
|
400~4,000 | 5~500 | 是 | 旗舰版 |
|
纳管其他账号资产 | 5~500 | 是 | 旗舰版 |
云防火墙高级版、企业版和旗舰版三个版本,每个版本支持的功能、资产/带宽扩展规格不同,您可以参考详细信息参见功能特性介绍,根据您的实际业务需求选择对应的版本。
2.3使用限制和注意事项
云防火墙支持防护有公网IP的云上资产流量防护,详情参见防护范围。
防护范围 | 范围描述 |
云资产或流量 |
注:由于历史网络架构的原因,部分公网SLB不支持云防火墙引流,推荐您采用私网SLB加EIP的方案,将流量牵引到云防火墙上进行防护。 |
云网络类型 |
|
地域 |
|
协议 |
|
加密协议流量 |
|
三.防护策略最佳实践
功能模块 | 子类 | 默认状态 | 是否要调整 |
防火墙开关 | 互联网边界 (双向) | 在配额范围内全开启 | 不调整,如果配额不够导致没有全开启需要添加配额 |
VPC边界 | 未创建、未开启 | 需要手动创建并开启 | |
IPS防护 | 互联网边界 | 默认拦截-宽松或者拦截-中等模式,根据业务自动选择 | 不建议调整,默认配置即可 |
VPC边界 | 无 | 创建VPC边界防火墙时设置拦截模式,开启VPC边界防火墙时自动开启 | |
NAT防火墙 | 安全正向代理 | 无 | 需要手动创建 |
NAT防火墙 | 无 | 需要手动创建 | |
访问控制 | 互联网边界 | 放行所有流量 | 根据业务进行配置 |
VPC边界 | 无 | 开启VPC边界防火墙后手动配置 | |
告警通知 | 告警通知 | 开启但需要配置收件人 | 需要配置收件人 |
DNS防火墙 | DNS防火墙 | 无 | 需要手动创建 |
统一账号管理 | 统一账号管理 | 无 | 需要手动创建 |
3.1启用云防火墙服务
如上图所示,可以在1处选择一键全部开启防护,2处选中单个资产开启或者关闭保护, 3处【新增资产自动保护】开关打开,则新购买的公网IP资产会自动开启保护。
开启防火墙服务后,云防火墙不会限制业务访问流量,超过公网防护带宽的流量不会被防护,会被默认放行。
3.2外网-内网方向资产防护
边界访问控制策略
外网到内网的边界访问控制策略管控用户访问云上服务入方向的流量,一般建议先配置放行访问云上服务的策略,然后再配置拒绝所有来源、协议、端口和应用的策略,可实现对可信流量放行,对其他可疑流量或恶意流量进行拒绝的访问控制,将外网风险管理做到有放有控,具体详细的配置过程详见下图:
配置互联网边界防火墙策略前,请您确认 互联网边界防火墙开关已开启,否则策略将不生效。
1 创建第一条外对内访问控制策略,先对可信的外部源IP进行放行,优先级设置为最前。
2 创建第二条外对内访问控制策略,拒绝其它所有访问源去访问内部网络,优先级设置为最后。
若访问源或目的源或端口有多个可使用地址簿或创建多条访问控制策略。
策略配置视频版:策略配置视频版
配置详情参见:互联网边界防火墙访问控制策略配置
注:最新创建的策略会展示在访问控制策略列表最后一页的最后一行,确定第一条可信源放行策略的优先级高于第二条所有访问源拒绝策略的优先级,优先级数字越小优先级越高,可点击策略“移动”进行优先级调整。
更多最佳实践请参考:
流量监测
互联网访问页面展示云上开放的服务、端口、公网IP地址和云产品信息,结合开放公网IP信息和推荐的“智能策略”可加强外对内访问控制策略安全水位。
入侵检测和防护
云防火墙内置了威胁检测引擎(IPS),可对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截,一般针对木马后门等恶意文件、攻击payload请求行为进行检测和防护,并提供精准的威胁检测虚拟补丁,智能阻断入侵风险。
其检测的运行原理包括利用威胁情报、入侵检测规则、智能模型算法识别、虚拟补丁的方式多方位进行检测。
在开启该功能时,我们建议您优先开启观察模式,通过试运行一段时间,分析数据误拦截情况后,再开启防护拦截模式功能。
详细的防护配置参见:防护配置
漏洞防护
云防火墙可针对被网络侧攻击利用的漏洞提供攻击防御能力,漏洞信息是由云安全中心漏洞检测功能自动检测并同步到云防火墙,需将威胁引擎运行模式设置为 拦截模式-中等。
该模式根据数据分析,一般不会对业务产生误拦截现象。
漏洞防护对云资产相关的漏洞使用 虚拟补丁 规则进行防御,对于恶意攻击或使用工具攻击漏洞的流量会被防御拦截。
详情参见:漏洞防护
3.3内网-外网方向资产防护
边界访问控制策略
内网到外网的边界访问控制策略管控云上资产访问互联网出方向的流量,一般建议先配置放行访问互联网的策略,然后再配置拒绝所有云上资产访问互联网服务的策略,可实现放行部分云资产需要访问互联网的流量,拒绝全部云上资产流量出网的访问控制,将外联风险做到有放有控,具体详细的配置过程详见下图:
配置互联网边界防火墙策略前,请您确认 互联网边界防火墙开关已开启,否则策略将不生效。
1 创建第一条内对外策略,先对可信的源IP进行放行,优先级设置为最前。
2 创建第二条内对外访问控制策略,拒绝其它所有访问源去访问外部互联网,优先级设置为最后。
若访问源或目的源或端口有多个可使用地址簿或创建多条访问控制策略。
配置详情参见:互联网边界防火墙访问控制策略配置
注:最新创建的策略会展示在访问控制策略列表最后一页的最后一行,确定第一条可信源放行策略的优先级高于第二条所有访问源拒绝策略的优先级,优先级数字越小优先级越高,可点击策略“移动”进行优先级调整。
更多最佳实践请参考:
流量监测
主动外联活动页面展示云上资产外联域名、外联IP信息,结合“情报标签”和访问详情及日志,可对内对外访问控制策略查漏补缺。
入侵检测和防护
购买云防火墙服务后,默认开启对有公网IP的云资产的保护,防护配置-【威胁检测运行模式】默认为拦截模式-中等,对于新购防火墙的客户建议更改为观察模式,观察模式可对恶意流量进行监控并告警,使用云防火墙2周或1个月后,分析观察业务数据正常后可将观察模式调整为拦截模式加强安全防护水位。
3.4内网-内网方向资产防护
VPC边界访问控制策略
内网到内网的边界访问控制策略管控两个VPC间的通信流量,一般建议先配置放行可信IP访问VPC的策略,然后再配置拒绝其他地址访问VPC的策略,具体详细的配置过程详见下图:
VPC边界防火墙可用于检测和控制两个VPC间的通信流量,VPC边界防火墙开启后默认放行所有流量。
1 先创建可信流量的放行策略,优先级设置为最前。
2 再创建一条拒绝其他所有访问的策略,优先级设置为最后。
注:最新创建的策略会展示在访问控制策略列表最后一页的最后一行,确定第一条可信源放行策略的优先级高于第二条所有访问源拒绝策略的优先级,优先级数字越小优先级越高,可点击策略“移动”进行优先级调整。
主机边界访问控制策略(ECS实例间)
主机边界防火墙可以对ECS实例间的入流量和出流量进行访问控制,实现颗粒度更小的ECS实例间的未授权访问。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。
一般建议先配置放行访问云上服务的策略,然后再配置拒绝所有来源、协议、端口和应用的策略。
策略组分为普通策略组和企业策略组,如果您的ECS数量较少,您可以使用普通策略组,即当前的ECS安全组,如果ECS实例多,建议使用企业策略组,相比原有的普通策略组,大幅提升了组内容纳实例数量,不再限制组内私网IP数量,规则配置方式更加简洁便于维护,适用于对整体规模和运维效率有较高需求的企业级用户。
流量监测
VPC访问活动展示VPC与VPC之间的流量趋势、会话、开发端口等,可查看和排查异常流量,为VPC访问控制策略加固防护。
入侵检测和防护
开启开关,则云企业网到已配置的目标网段的流量会牵引到云防火墙。
开启开关,并配置了VPC边界防火墙访问控制策略或开启了入侵防御拦截模式后,流量才会受到云防火墙的防护。
VPC边界防火墙提供的入侵防御策略选项:基础规则和虚拟补丁。
四.数据分析
4.1通过日志服务分析异常原因
网络不通问题排查:在确认云资产开启云防火墙保护后,流量日志中使用源IP和目的IP条件筛选,查看日志中“动作”列为丢弃确定防火墙拦截。
第一步 开通日志服务:
第二步 通过日志分析查询日志
常见问题分析案例举例:
客户配置访问控制策略禁止公网访问某台ECS,但是测试从公网测试仍可以访问,收集ECS IP信息,在互联网流量日志中筛选目的IP为ECS的IP,查看日志匹配的策略及动作是否为丢弃,若为否再确认客户配置的策略是否有命中数,确认策略优先级问题。
1 收集ECS IP信息,日志设置筛选条件为目的IP:ECS公网IP, 流量方向:入方向, 时间:测试时间范围,点击搜索
2 若上一步日志中,若动作为“放行”,查看匹配对应的规则名,规则名为 - 为防火墙默认放行,为匹配中云防火墙默认放行策略。
3 若日志中动作为“丢弃”,表示云防火墙匹配到流量,查看访问控制策略是否有命中次数,确认优先级问题。
4.2将云防火墙流量日志导入第三方系统
云防火墙高级版、企业版和旗舰版与阿里云日志服务(SLS)已打通,开通日志分析功能云防火墙日志会自动投递到SLS中,云防火墙对应的project名为cloudfirewall-project-UID-cn-Region,如下所示:
日志导出到SOC(安全运维中心)参见:日志导出
五.监控及报告
5.1配置监控告警消息推送
云防火墙提供以下通知:
流量异常通知:当经过云防火墙的峰值流量超过您已购买的公网流量处理能力时,会发送该通知。
周报:云防火墙在您设置好的通知时间,发送周报内容至您设置的邮箱。
失陷主机通知:当云防火墙检测到有主机失陷时,会发送该告警。为确保通知的准确性,部分通知可能会延迟一天发出。
异常外联通知:当云防火墙检测到有主机外联风险IP或者域名时,会发送该通知。
漏洞实时防护通知:当云防火墙发现您资产存在的漏洞被利用发起攻击时,会发送该通知。
资产保护通知:当云防火墙检测到您的公网IP资产或VPC资产未开启保护,会发送该通知。
入侵防护通知:当云防火墙检测到您的入侵防御拦截模式未开启,导致无法自动拦截攻击时,会发送该通知。
新增公网资产通知:当云防火墙检测到您有新增公网资产时,会发送该通知,提醒您为新增资产开启保护。
智能策略推荐通知:云防火墙通过自动化流量学习,为您推荐智能访问控制策略。
配置监控告警通知有利于运维人员第一时间掌握业务安全异常,云防火墙默认支持通过邮件和短信向阿里云账号联系人发送云防火墙相关通知,最多可以添加10个云防火墙通知联系人。
告警通知设置及添加通知联系人参见:告警通知
5.2配置安全报告
如果您需要周期性的安全报告,云防火墙支持以邮件方式发送周报通知,总结Web资产的安全防护数据、防火墙开启状态、漏洞分析及安全策略数据等信息,帮助了解资产整体安全态势,您可以前往云防火墙控制台周报功能模块设置,具体详细配置点击了解:周报。
云防火墙周报发送时间支持自定义,可选周一到周日中的任意时间,目前周报只支持邮件方式发送。
六.故障应急
如果您发现因产品或防护规则导致业务存在异常,可以按照一下方法应急处理:
问题类别 | 处理方式 |
产品故障 | 建议您在控制台内关闭引流 关闭步骤: 登录阿里云云防火墙控制台,点击“防火墙开关”,点击对应的资产 “关闭保护”即可。  |
ACL误拦截 | 建议您配置访问控制放行 注意:威胁情报相关的拦截策略需在访问控制中进行加白处理。 |
IPS误拦截 | 配置IPS拦截模式为观察模式  |
东西向VPC间流量不通 | 1.提交工单或钉钉群内联系云防火墙售后同学,提供源目IP地址以及所在的网络实例信息 2.如情况紧急需要bypassVPC边界防火墙存在两种情况:
|
七.注意事项
7.1互联网边界防火墙开启限制
限制项 | 说明 | 处理建议 |
地域 | 未支持地域开服时间可以留意官网公告 | |
带宽限制 | 互联网南北向防护带宽: 高级版默认10Mbps 最高扩容至2000Mbps 企业版默认50Mbps 最高扩容至5000Mbps 旗舰版默认200Mbps 最高扩容至5000Mbps | 根据实际业务需求确认购买量 |
防护配额 | 互联网南北向防护公网IP数: 高级版默认20个 最高扩容至1000个 企业版默认50个 最高扩容至2000个 旗舰版默认400个最高扩容至4000个 | 根据实际业务需求确认购买量 |
7.2访问控制配置限制
限制项 | 说明 | 处理建议 |
授权规格数 | 不同版本的授权规格数上限如下,如超过则不能配置 高级版:4000条 企业版:10000条 旗舰版:20000条 | 1、联系云防火墙售后进行策略优化 2、联系云防火墙售后进行扩容申请 说明:扩容上限为原来上限的两倍。 |
地址薄 | 地址薄中地址数量不能超过1000条 | 新建地址薄。 |
7.3安全正向代理开启限制
限制项 | 说明 | 处理建议 |
地域 | 未支持地域开服时间可以留意官网公告 | |
特殊地域 | 杭州、深圳、北京地域需要后台加白处理 | 联系云防火墙售后加白处理 |
dnat | 如果nat中存在dnat条目则不支持开启安全正向代理 | 删除dnat条目 |
高级特性 | 待开启VPC需要支持高级特性才能开启安全正向代理 | 删除或升级VPC下不支持高级特性的实例,涉及实例规格参考https://help.aliyun.com/document_detail/163020.htm |
ENI | nat网关中的eni数量不能超过5个 | 如超过联系云防火墙售后加白处理 |
7.4VPC边界防火墙开启限制
限制项 | 说明 | 处理建议 |
支持防护数 | 东西向VPC边界防火墙支持防护个数: 高级版不支持VPC边界防火墙 企业版默认2个 最高扩容至200个 旗舰版默认5个 最高扩容之500个 | 根据实际业务需求确认购买量 |
可防护VPC间最大带宽 | 东西向VPC边界防火墙可防护最大流量: 高级版不支持VPC边界防火墙 企业版最高支持100Mbps 旗舰版最高支持1Gbps | 如需扩容请联系云防火墙售后人员 |
通用-VPC数 | 每个地域最多支持19个VPC实例和1个VPC边界防火墙(即VPC边界防火墙会占用1个配额)。开启VPC边界防火墙后,每个地域会自动新增一个VPC(即您在专有网络管理控制台的专有网络页面,查看到的实例名称为Cloud_Firewall_VPC的新增VPC)。VPC配额不足的情况下,您将无法开启VPC边界防火墙。 | 如果配额已满,您需要前往专有网络管理控制台的配额管理页面修改VPC配额的上限。 注意 如果VPC配额上限已无法修改,请咨询云防火墙钉钉群售后人员。 |
跨账号VPC未授权 | 在云企业网中存在跨账号开通的VPC时,如果跨账号开通的VPC未获得云防火墙的授权或您的云防火墙版本不是旗舰版,您将无法创建VPC边界防火墙。 |
|
地域 | 云企业网中的VPC所在的地域都需要是VPC边界防火墙支持的地域,否则会导致无法为该云企业网开启VPC边界防火墙。 | 云企业网中的VPC所在的地域都是VPC边界防火墙支持的地域。相关内容,请参见VPC边界防火墙支持的地域。 |
公网私用 | 如果您是在2021年05月01日之前开通了VPC边界防火墙,并且您的网络拓扑中存在公网私用的地址段,开启VPC边界防火墙后,您的服务器对SLB和RDS的访问将会中断。 | 建议按标准规划您的网络,避免出现公网私用的情况。 注意 2021年05月01日及之后开通VPC边界防火墙的用户无此限制 |
cen发布路由数 | 云企业网中发布的路由数最大为100。 | 建议您减少发布的路由数,并将路由数减少到100条以内。如有需要,请联系云防火墙钉群售后人员。 |
vpc路由数 | 开启VPC边界防火墙会为用户添加自定义路由。由于每个用户VPC路由表中自定义路由的数量存在限制,超过数量限制则无法再为您开启VPC边界防火墙。VPC实例自定义路由的最大数量为400。 | 增加VPC的配额。 您可以前往专有网络管理控制台的配额管理页面,修改当前账号下VPC路由表的自定义路由配额。 |
vpc存在自定义路由表 | 在云企业网中开启VPC边界防火墙时,如果VPC中存在自定义路由表且绑定了vSwitch,不支持开通VPC边界防火墙。 | 您可以删除相关的自定义路由表或vSwitch解除绑定自定义路由表。 |
非VPC互访流量 | 以下非VPC间互访流量不经过云防火墙,因此无法受到云防火墙的防护:
| 如果您需要进一步咨询,请联系云防火墙钉钉群售后人员。 |
SLB和RDS | SLB和RDS等云服务在开启或关闭VPC边界防火墙过程中,会出现长连接失效问题。 |
|
| 已开启VPC边界防火墙的VPC数量和地域数量的总和小于等于32个(未开启VPC边界防火墙不影响)。 | 无。 |
cen内VPC数量限制 | 在云企业网中开启VPC边界防火墙时,支持添加的网络实例数量为15个。 | 建议您使用云企业网转发路由器。相关信息,请咨询云防火墙钉钉群售后人员。 |
routemap 限制 | 为云企业网创建VPC边界防火墙时,该云企业网中不能存在策略行为设置为拒绝类型的路由策略(系统默认生产的优先级为5000拒绝类型路由策略除外),否则将会导致业务中断。 | 建议您删除相关路由策略,或咨询云防火墙钉钉群售后人员。 |
转发路由器网络实例限制 | 在云企业网中开启VPC边界防火墙时, 转发路由器支持添加的网络实例(包含VPC、VBR和CCN)在每个地域数量最多为100个。 此限制存在于企业版转发路由器。 | 无。 说明 转发路由器支持添加的VPC中,包含了开启VPC边界防火墙时自动新增的VPC(即您在专有网络管理控制台的专有网络页面,查看到的实例名称为Cloud_Firewall_VPC的新增VPC)。 |
手动模式vpc加白 | 转发路由器存在如下限制:
此限制存在于企业版转发路由器。 | 如果您需要将VPC加入白名单,请联系钉钉群售后人员 |
非VPC互访 | 在高速通道中开启VPC边界防火墙,不支持防护VPC跨地域、跨账号及VPC与VBR间的互访流量。 此限制存在于高速通道场景下。 | 如果需要防护VPC跨地域、跨账号或VPC与VBR间的互访流量,建议您改为组云企业网组网。相关信息,请咨询产品钉钉群售后人员。 |
自定义路由表条数限制 | 开启VPC边界防火墙会为用户添加自定义路由。由于每个用户VPC路由表中自定义路由的数量存在限制,超过数量限制则无法再为您开启VPC边界防火墙。VPC实例自定义路由的最大数量为400。 此限制存在于高速通道场景下。 | 增加VPC的配额。 您可以前往专有网络管理控制台的配额管理页面,修改当前账号下VPC路由表的自定义路由配额。 |
32位网段路由限制 | 在高速通道中不支持32位网段的路由。如果有32位网段的路由,开启VPC边界防火墙后,会导致对此网段的网络访问中断。 此限制存在于高速通道场景下。 | 建议您先将网段掩码长度修改为小于等于30后,再开启VPC边界防火墙,或者联系产品钉钉群售后人员。 |
八.安全专家服务
购买开通云防火墙服务后,您可以在管理控制台中通过钉钉扫描二维码直接联系阿里云安全服务专家。
安全专家将针对您的业务场景提供云防火墙配置指导、安全攻击分析和防御相关安全服务,基于业务实际情况帮助您更好地使用云防火墙对业务进行安全防护,保障您业务的网络应用安全。
说明:为了便于快速分析和解决问题,在远程技术支持服务过程中,可能需要您授权阿里云安全专家查看业务数据。所有安全专家服务人员都将严格遵循服务授权和保密原则,防止您的信息泄露。
九.各功能最佳实践
云防火墙数据库防御最佳实践:https://help.aliyun.com/document_detail/94198.html
云防火墙防御挖矿蠕虫最佳实践:https://help.aliyun.com/document_detail/117972.html
系统漏洞攻击防御最佳实践:https://help.aliyun.com/document_detail/98757.html
MongoDB数据库未授权访问漏洞防御最佳实践:https://help.aliyun.com/document_detail/112035.html