本文介绍使用云防火墙访问控制策略管控业务流量时可能遇到的问题及其解决方案。
功能特性类问题
操作类问题
访问控制策略授权规格是否支持扩展?
VPC间的防护流量是否支持扩展?
支持。
如果已购买的VPC防护流量无法满足您的业务需求,您可以通过购买VPC流量处理能力进行扩展。
企业版:基础价格默认包含200 Mbps,可扩容范围为200~10,000 Mbps。。
旗舰版:基础价格默认包含1,000 Mbps,可扩容范围为1,000~15,000 Mbps。。
云防火墙是否支持封禁IPv6地址段?
云防火墙包年包月版(高级版、企业版、旗舰版)的互联网边界访问控制策略,支持针对IPv6地址段的流量进行管控,具体操作,请参见配置互联网边界访问控制策略。
云防火墙按量版暂不支持针对IPv6地址段的流量管控。
DNS防火墙与访问控制互联网边界防火墙的出方向策略,有什么区别?
区别如下:
策略类型 | DNS边界访问控制策略 | 互联网边界访问控制策略 |
管控范围 | 仅用于管控内网服务器的DNS流量。 | 用于管控公网资产IP访问互联网指定的域名、IP地址或区域。 |
支持的地域 | 支持的地域不同,互联网边界防火墙覆盖的地域多于DNS边界防火墙。具体内容,请参见支持的地域。 | |
商业化 | 邀测阶段,需要联系商务经理,申请开通。 | 已正式发布,购买云防火墙付费版后即可使用。 |
云防火墙和安全组有什么区别?
安全组是ECS提供的虚拟主机防火墙,能够对ECS实例间的流量进行访问控制。
云防火墙是互联网边界防火墙、NAT边界防火墙、VPC边界防火墙、主机边界防火墙的统称,可以提供基于互联网边界、NAT边界、VPC网络边界、ECS实例间的流量管控能力,形成全方位的防护体系。
相比于安全组,云防火墙提供以下特有的功能:
支持应用级别的访问控制,允许对HTTP等协议流量进行控制,不受限于特定端口。
支持域名级别的访问控制。例如,能够配置只允许ECS访问指定的域名网站。
提供入侵防御功能,支持对常见的系统漏洞和暴力破解进行防护。
访问控制策略支持观察模式,允许监控潜在风险流量而不立即阻断。
提供完整的流量日志,并支持对流量进行实时分析。
提供统一平台安全管控。在云防火墙控制台配置的主机边界防火墙控制策略,会自动同步到ECS的安全组,简化安全管理流程。
主机边界防火墙的普通策略组和企业策略组有什么区别?
主机边界防火墙(ECS实例间)访问控制的策略组对应于ECS的安全组,是一种虚拟防火墙,能够控制ECS实例的出入站流量。策略组分为普通策略组和企业策略组,适用于不同的使用场景。
普通策略组:对应于ECS的普通安全组,支持组内互通功能和添加授权安全组访问的规则,但可容纳的私网IP数量小于企业级安全组。
企业策略组:对应于ECS的企业安全组,企业级安全组可以容纳更多的私网IP地址数量,但不支持组内互通功能,也不支持添加授权安全组访问的规则。
更多信息,请参见普通安全组与企业级安全组。
配置了HTTP或HTTPS的出方向域名访问控制策略,如何验证策略的有效性?
使用curl命令或浏览器访问域名进行测试。例如,执行curl -k "https://www.aliyundoc.com",然后进入云防火墙控制台查看命中策略的次数和日志审计信息。
请勿使用telnet命令进行域名测试。使用telnet命令对域名和端口进行测试时(例如telnet example.com 80),只会生成TCP握手流量,并不会模拟完整的HTTP或HTTPS请求,此时应用类型识别为Unknown,不会被HTTP或HTTPS应用策略命中。
如何解决一键下发安全组默认放通策略失败的问题?
一键下发安全组默认放通策略时,系统返回失败,表示该资产IP关联的安全组不支持默认放通,可能原因如下:
该资产IP关联的安全组为企业安全组。
企业级安全组不支持下发安全组默认放通策略。相关信息,请参见企业安全组。
该资产IP未开启互联网边界防火墙保护开关。
为更好地保护您的资产安全,对于未开启云防火墙开关的资源,不建议下发默认放通策略;对于已放通的资源,不建议关闭云防火墙的防护开关。
如何解决安全组默认放通策略的“配置冲突不可调整”问题?
可能原因
该资产IP关联的安全组中的规则与待下发规则的优先级、协议类型、端口范围、授权对象均相同。
解决方法
建议您前往ECS管理控制台的安全组页面查看和调整冲突的规则优先级,具体操作,请参见修改安全组规则。或者提交工单,联系产品技术专家进行咨询。
如何解决安全组默认放通策略的一键下发按钮置灰问题?
可能原因
存在还未解决冲突的安全组。
解决方法
您需要根据页面提示,先解决配置冲突问题后才能一键下发安全组默认放通策略。具体操作,请参见互联网边界防火墙。
如何解决外部扫描导致的异常外联误报?
可能原因
遇到因外部端口扫描而产生的错误外联告警时,通常是由于入向访问控制策略设置不足所致。当攻击者扫描非开放端口,云防火墙可能将服务器响应的端口不可达ICMP消息误判为客户端发起的外联。
外联扫描误报的具体原理说明如下所示:
在正常情况下,当一个SYN(同步序列编号)数据包送达一个开放的端口,服务器会回应一个SYN-ACK(同步确认)数据包。云防火墙会将SYN和SYN-ACK数据包识别为属于同一连接的部分。
当攻击者扫描一个未开放的端口,服务器或者网络地址转换(NAT)设备会回应一个表示端口不可达的ICMP(互联网控制消息协议)数据包。云防火墙不能将这个ICMP响应与任何特定的入向请求关联起来,因此可能错误地认定这个ICMP数据包是从客户端发起的一次主动外联连接尝试。如果扫描的来源IP地址在威胁情报库中,就会触发异常外联的告警。
解决办法
为减少此类误报,应当强化入方向的访问控制,严格管理未开放端口,仅放行需开放的端口,其他端口均封禁。具体操作,请参见配置互联网边界访问控制策略。
互联网边界防火墙出方向配置了0.0.0.0/0的拒绝策略,为什么还有流量因未命中任何策略而放行?
可能原因
触发了域名等待
当配置了高优先级的域名策略,流量和策略匹配成功了源IP、目的端口和应用,但未识别出域名。此时,流量默认放行,目的是在后续流量匹配中,尽可能识别出域名。
触发了应用等待
当配置了高优先级的应用策略,流量和策略匹配成功了源IP、目的IP和端口,但未识别出应用。此时,流量默认放行,目的是在后续流量匹配中,尽可能识别出应用。
解决办法
您可以配置访问控制的严格模式。
对命中已配置的访问控制策略的流量,如果存在未识别出应用类型或者域名的流量,将会继续匹配其他访问控制策略;如果有配置拒绝策略,将拒绝未识别unknown流量业务访问。具体操作,请参见访问控制引擎模式介绍。
您可以放弃七层策略,只使用四层策略。
配置访问策略时,应用选择ANY,目的不设置域名。当流量匹配到这条四层策略时,就会按照配置的策略动作执行。具体操作,请参见配置互联网边界访问控制策略。
如何实现只允许访问某个主域名的特定子域名网站?
以xyz.com域名为例,需要配置只允许访问abc.xyz.com域名的网页,此时,您可以按照以下操作配置:
创建一条拒绝
*.xyz.com域名的访问控制策略,将其优先级置为最后。创建一条放行
abc.xyz.com域名的访问控制策略,将其优先级置为最前。
需要确保放行特定子域名的策略优先级高于拒绝其他网站的策略。关于如何配置访问控制策略,请参见配置互联网边界访问控制策略。
如何通过云防火墙加强堡垒机域名的访问控制?
堡垒机作为综合性运维管控平台,提供运维身份鉴别、账号管控、系统操作审计等多种功能。由于堡垒机存储和管理了大量账号等敏感信息,经常成为黑客攻击的目标。新版堡垒机通过域名方式提供访问服务,可能面临外部用户在非授权的情况下访问堡垒机,从而获取对大量资产的访问权限。
建议通过云防火墙实现用户对堡垒机域名的访问控制。如果客户购买了堡垒机和云防火墙,云防火墙的资产类型自动增加堡垒机,且自动同步堡垒机到云防火墙资产列表。通过云防火墙对堡垒机实施访问控制、IPS、网络流量分析,实现对堡垒机公网IP进行统一管理和保护。
访问控制:
配置互联网边界防火墙外到内策略,允许互联网或指定区域的互联网访问堡垒机的开放端口。
配置互联网边界防火墙内到外策略,允许堡垒机访问公网IP。
入侵防护:在防火墙开关处打开堡垒机的保护,使进入、流出堡垒机的流量都经过云防火墙的保护。
具体操作,请参见云防火墙和运维安全中心(堡垒机)联合部署访问策略的最佳实践。
配置策略有效期时,如果重复周期跨天会生效吗?
如果设置的重复周期跨天,生效时间规则为:只要设置的开始时间在重复周期内,即使结束时间跨天,超出所选的每天、每周、每月范围,生效时间也会延迟到设置的结束时间。
示例:如果您设置的重复周期为:每周二,18:00-08:00(+1),生效日期为:2024.08.20-2024.08.22,则生效时间为:2024.08.20 18:00~2024.08.21 08:00。