云防火墙
|
功能集 |
功能 |
功能描述 |
参考文档 |
|
概览 |
概览 |
主要介绍云防火墙实例基本信息、整体防护能力、统计信息、流量拓扑可视化总览信息、最新发布等,帮助您了解网络资产的安全状况以及云资产的互联网边界流量和VPC边界流量安全概况。 |
数据总览 |
|
防火墙开关(资产接入) |
互联网边界防火墙 |
您可以使用互联网边界防火墙,精细化管控业务公网资产出入互联网的访问流量,减少公网资产在互联网的暴露面,降低业务流量的安全风险。开通互联网边界防火墙时,您无需更改当前网络拓扑,可以将资源一键秒级接入保护,快速实现对互联网出入流量的可视化分析、攻击防护、访问控制、日志审计等。 |
互联网边界防火墙 |
|
VPC边界防火墙 |
VPC边界防火墙帮助您检测和管控专有网络VPC(Virtual Private Cloud)之间、VPC和本地数据中心之间的流量。如果VPC同属于一个云企业网,或者已通过高速通道连接,您可以创建VPC边界防火墙,实现控制VPC之间、VPC与本地数据之间的访问流量。同时,VPC边界防火墙支持跨账号管理。例如,使用账号A创建了云企业网和VPC_1,使用账号B创建了VPC_2,VPC_1和VPC_2。 |
VPC边界防火墙 | |
|
NAT防火墙 |
VPC内资源(例如ECS、ECI等)通过NAT网关直接访问互联网时,可能存在未经授权的访问、数据泄露、恶意流量攻击等安全风险。为了降低这些风险,您可以开启NAT边界防火墙,利用云防火墙来拦截未授权的流量访问。本文介绍如何配置NAT边界防火墙。 |
NAT边界防火墙 | |
|
流量分析 |
主动外联 |
用户可以通过主动外联数据报表,查看业务资产访问互联网的情况,包括出方向异常流量溯源、资产访问的互联网目的地址、公网资产主动外联、私网资产主动外联等数据,帮助您排查可疑资产,保障业务安全。 |
主动外联 |
|
公网暴露 |
用户可以通过公网暴露数据报表,查看互联网访问业务资产的情况,包括入方向异常流量溯源、业务资产开放公网IP、开放端口、开放应用、云产品的公网IP数量等数据,帮助您排查可疑资产,保障业务安全。 |
公网暴露 | |
|
VPC互访 |
云防火墙的VPC互访功能为您展示VPC专有网络之间的流量信息,帮助您实时获取VPC网络流量信息,及时发现和排查异常流量,从而更快地发现和检测出攻击。本文介绍如何查看VPC间流量访问Top排行、VPC间会话Top排行、流量访问的开放端口和资产等数据。 |
VPC互访 | |
|
AI访问流量 |
AI访问流量分析功能,提供可视化、外联服务和资产等多角度分析主动外联AI服务的流量监控和分析能力。帮助您更方便的了解资产访问AI服务的情况。 |
AI访问流量 | |
|
检测响应 |
TLS检查 |
针对出向流量进行TLS证书加解密策略配置,方便检测流量风险。 |
TLS检查 |
|
入侵防御 |
云防火墙的入侵防御IPS(Intrusion Prevention System)能力可以实时主动检测和拦截黑客恶意攻击、漏洞利用、暴力破解、蠕虫病毒、挖矿程序、后门木马、DoS等恶意流量,保护云上企业信息系统和网络架构免受侵害,防止业务被未授权访问或数据泄露、业务系统和应用程序损坏或宕机等。 |
入侵防御 | |
|
漏洞防护 |
漏洞防护页面展示了可被网络侧攻击利用的漏洞(这类漏洞由云安全中心漏洞检测功能自动检测并同步到云防火墙),并提供针对此类漏洞的攻击防御能力。您可以通过手动开启云防火墙开关和IPS防御规则,防止这些漏洞被利用,从而避免您的资产遭受入侵。本文介绍云防火墙可检测的漏洞类型及如何进行漏洞防护。 |
漏洞防护 | |
|
失陷感知 |
在服务器受到入侵时,云防火墙失陷感知功能可以帮助您及时发现并识别入侵事件,避免业务遭受重大损失。本文介绍如何查看入侵事件和开启一键防御能力。本文介绍如何查看服务器是否存在安全威胁及配置防护模式。 |
失陷感知 | |
|
数据泄露 |
针对云上主动外联出向流量及时检测发现敏感数据对外泄露风险。 |
数据泄露 | |
|
防护配置 |
云防火墙内置威胁检测引擎,实施拦截互联网上的恶意流量入侵活动和常规攻击行为,并提供精准地威胁检测虚拟补丁。通过防护配置功能设置威胁引擎的运行模式,配置威胁情报、基础防御、智能防御和虚拟补丁,帮助您更精准地识别和阻断入侵风险。本文介绍威胁引擎运行模式、及不同类型的攻击的拦截对策,如何配置防护模式。 |
防护配置 | |
|
访问控制 |
互联网边界ACL |
开启互联网边界防火墙后,如果您未配置访问控制策略,云防火墙在访问控制策略匹配环节中默认放行所有流量。您可以配置公网资产的出向(内部网络访问外部互联网)策略和入向(外部互联网访问内部网络)策略,避免公网资产和互联网之间的未授权访问。本文介绍如何配置互联网边界防火墙的访问控制策略。 |
配置互联网边界访问控制策略 |
|
NAT边界ACL |
如果您需要限制VPC内资源(例如ECS、ECI等)通过NAT网关访问互联网的出方向流量时,您可以为NAT网关开启NAT边界防火墙,并配置NAT边界访问控制策略,精细化管控私网资源到互联网的访问。 |
配置NAT边界访问控制策略 | |
|
VPC边界ACL |
VPC边界防火墙可用于检测和控制两个VPC间的通信流量,默认放行所有流量。您可以通过访问控制策略对两个VPC之间的流量进行管控,阻断可疑流量或恶意流量,放行可信流量。本文介绍如何配置VPC边界防火墙的访问控制策略。 |
配置VPC边界访问控制策略 | |
|
主机边界ACL |
主机边界防火墙可以对ECS实例间的入流量和出流量进行访问控制,限制ECS实例间的未授权访问。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。 |
安全组配置 | |
|
安全组检查 |
安全组规则设置不当可能会导致严重的安全问题。安全组检查功能为您检查ECS服务器安全组中存在高危风险的规则,并提供修复建议,帮助您更安全、更高效地使用安全组功能。 |
安全组检查 | |
|
DNS域名 |
专有网络VPC访问域名网站时,需要先通过DNS服务器解析出域名网站的IP地址。开启DNS防火墙后,VPC访问互联网域名时会先经过DNS防火墙,您可以通过配置DNS域名访问策略,对VPC访问互联网域名进行管控。 |
配置DNS边界访问控制策略 | |
|
地址簿管理 |
您可以将众多IP地址(包括IPv4和IPv6)、端口或域名统一添加到地址簿中,然后在访问控制策略中一键引用地址簿,实现高效地管控指定对象群体的网络流量。使用地址簿可以简化在多条访问控制策略中重复设置相同目标的流程,并且地址簿中的更新都会自动同步到相关的访问控制策略,无需手动重新配置,帮助您提高策略调整的响应速度和管理的整体效率。 |
地址簿管理 | |
|
策略分析 |
自动化分析ACL策略配置有效性,如冗余、冲突、高风险策略等。 |
策略分析 | |
|
同步节点 |
通过同步节点,自动同步私有DNS或容器资产,实现自动化资产同步和策略自动化更新。 |
同步节点 | |
|
日志分析 |
日志审计 |
通过云防火墙的所有流量会记录在日志审计页面,包括流量日志、事件日志和操作日志,帮助您实时审计您的网络流量,确认是否存在可疑流量。云防火墙还提供日志分析功能,可自定义存储时长7~365天的日志数据。如果您有等保合规的需求,建议开通日志分析服务。 |
日志审计 |
|
日志分析 |
云防火墙联合日志服务推出了日志分析功能,可以实现对防护资产流量日志的实时采集、查询、分析、加工和消费等一站式服务,帮助您有效监控和保护网络资产安全,满足等保合规要求。 |
日志分析 | |
|
业务可视 |
自定义分组 |
云防火墙通过业务间的流量可视化,帮助用户了解业务之间的访问关系,以此判断执行什么样的访问控制策略。 |
自定义分组 |
|
系统设置 |
告警通知 |
您可以通过设置告警通知,在资产出现流量异常、异常外联、漏洞风险等情况时,及时收到通知,以便您了解资产状态,及时处理异常问题,保障资产安全。本文介绍如何设置告警通知。 |
告警通知 |
|
多账号统一管理 |
云防火墙支持通过阿里云资源管理的可信服务功能,将多个阿里云账号汇总到一个资源目录(其中每个阿里云账号表示一个成员账号),并委派特定的成员作为管理员,使其可以访问资源目录下所有成员账号包含的资源,从而实现资源的统一管理。本文介绍如何进行多账号统一管理。 |
多账号统一管理 | |
|
工具箱 |
工具箱支持策略备份与回滚、网络抓包和互联网边界防火墙-严格模式配置。 |
工具箱 |
基础能力计费
|
功能集 |
功能 |
功能描述 |
参考文档 |
|
版本 |
版本 |
云防火墙版本包括:按量版、高级版、企业版、旗舰版。购买云防火墙之前,您需要结合实际的业务情况、不同云防火墙版本支持的功能特性、费用成本等因素,选择适合您的云防火墙版本。因此,您需要了解不同云防火墙版本的功能差异,帮助您更好地选择云防火墙版本。 |
- |
Agentic NDR
|
功能集 |
功能 |
功能描述 |
参考文档 |
|
接入 |
接入管理 |
支持互联网流量与私网流量(包含 VPC 内部,VPC 间 ECS 互访)接入,旁路镜像流量非侵入、对业务无影响,无需用户部署,支持基于IP、协议、端口、时间段、流量阈值等参数进行精细化流量采集。 |
接入管理 |
|
检测 |
事件 |
Agentic NDR 基于大模型实现自动化事件聚合,绘制溯源图,提供事件分析全景报告,支持用户联动云防火墙进行恶意实体处置。 |
事件 |
|
告警 |
基于入侵检测、威胁情报、恶意文件、恶意行为分析多引擎威胁检测与关联分析,结合时间轴呈现告警详情,支持查看 payload 信息。 |
告警 | |
|
ATT&CK Matrix |
结合ATT&CK Matrix,聚合呈现攻攻击者使用技战术与工具,全局呈现攻击阶段与入侵路径。 |
ATT&CK Matrix | |
|
风险 |
登录行为 |
基于特权账号、弱口令、明文凭证、已泄露AKSK等登录风险行为分析,发现潜在的登录风险。 |
登录行为 |
|
敏感数据 |
发现流量中存在的敏感文本如银行卡,手机号等、敏感文件如身份证照片,用户名单文件等传输风险行为。 |
敏感数据 | |
|
高危服务 |
发现如 ssh、nacos、openclaw 等内部高危服务暴露风险。 |
高危服务 | |
|
数据库行为 |
发现数据库流量中存在数据与信息异常、文件系统修改、权限配置、数据删除等风险行为。 |
数据库行为 | |
|
调查 |
协议会话 |
通过旁路流量低成本存储协议日志,实现海量记录检索挖掘和回溯分析。 |
协议会话 |
|
攻击取证 |
自动留存威胁告警产生的攻击流量报文,有效降低存储压力,提供用户攻击取证能力。 |
攻击取证 | |
|
报文留存 |
定制留存核心资产全流量 PCAP 报文,满足各类原始流量复现与抓包分析需求。 |
报文留存 | |
|
日志 |
日志分析 |
集成 SLS 高级日志检索分析能力,支持用户按需配置基于黑白名单、日志类型、流信息、协议信息、日志信息的日志过滤。 |
日志分析 |
|
设置 |
账单管理 |
统计用户当前流量接入用量与费用估算,支持下钻查看具体接入资产流量使用情况。 |
账单管理 |