开启或关闭云防火墙的常见问题_云防火墙(Cloud Firewall)-阿里云帮助中心

本文介绍开启或关闭防火墙开关时可能遇到的问题，包括开启防火墙对业务的影响、开墙后的路由和流量变化等。

为什么当前账号无法开启云防火墙？
如何关闭云防火墙？
互联网边界防火墙
NAT边界防火墙
VPC边界防火墙

开启防火墙开关对业务有什么影响？

防火墙类型	对业务的影响
互联网边界防火墙	创建、开启及关闭互联网边界防火墙时，您无需更改当前的网络拓扑，可以将资源一键秒级接入保护或关闭保护，对业务无影响。
NAT边界防火墙	创建NAT边界防火墙、关闭后删除NAT边界防火墙对业务无影响。创建时长与NAT网关绑定的EIP数量有关，每增加一个EIP，创建时间约增加2~5分钟。开启和关闭NAT边界防火墙，预计需要10秒钟左右，过程中会出现1~2秒的长连接闪断，短连接无影响。
高速通道VPC边界防火墙基础版转发路由器VPC边界防火墙	创建VPC边界防火墙、关闭后删除VPC边界防火墙对业务无影响。创建时长约5分钟。开启和关闭VPC边界防火墙，预计约需要5~30分钟（取决于路由条目数），过程中会出现长连接秒级闪断，短连接无影响。说明建议在开启VPC边界防火墙之前检查您的应用程序是否支持TCP自动重传机制，并密切关注应用连接状态，以避免由于未配置重传机制而导致的连接中断。
企业版转发路由器VPC边界防火墙	自动引流创建VPC边界防火墙、关闭后删除VPC边界防火墙对业务无影响。创建时长约5分钟。开启和关闭VPC边界防火墙，预计约需要5~30分钟（取决于路由条目数），对业务无影响。手动引流创建VPC边界防火墙、关闭后删除VPC边界防火墙对业务无影响。创建时长约5分钟。开启和关闭VPC边界防火墙，业务影响时间不定，取决于切流方式。

如何关闭云防火墙？

当您评估业务不需要云防火墙防护时，您可以释放实例，以免产生额外的费用。

为什么当前账号无法开启云防火墙？

可能原因

登录云防火墙控制台时，页面提示当前账号无法开启云防火墙。可能原因如下：

当前账号为阿里云账号（主账号）且已被其他阿里云账号添加为成员账号进行统一管理。
当前账号为RAM用户（子账号）且未完成授权。

解决方案

您可以移动光标到控制台页面右上角的登录账号头像处，查看账号类型。

如果该账号为阿里云账号（主账号）。
此时，您需要使用统一管理该账号的管理员账号登录云防火墙控制台，开通云防火墙服务后，为成员账号的云资产开启防护。具体操作，请参见购买云防火墙服务。
如果该账号为RAM用户（子账号）。您需要使用该账号所属的阿里云账号（主账号）对该账号授予createSlr、AliyunYundunCloudFirewallReadOnlyAccess和AliyunYundunCloudFirewallFullAccess权限。授权的具体操作，请参见为RAM用户授权。
其中，createSlr是自定义权限策略，需要创建自定义权限策略，具体的脚本内容如下。具体操作，请参见创建自定义权限策略。
```
{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:166032244439****:role/*",
            "Effect": "Deny",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "cloudfw.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}
```
说明
Resource参数的格式为acs:ram:*:阿里云账号（主账号）ID:role/*。阿里云账号（主账号）ID填写为RAM用户（子账号）所属的主账号ID。

云防火墙开启失败原因及解决方案汇总

错误提示	解决方案
云企业网中不存在跨账号开通的VPC、跨账号开通的VPC未获得云防火墙的授权或您的云防火墙版本不是旗舰版。	您需要用对应账号登录云防火墙完成授权后，再开启VPC边界防火墙关于授权的操作，请参见授权云防火墙访问云资源。若需要升级到云防火墙旗舰版。相关操作，请参见续费说明。
开启防火墙的云企业网里存在加入高速通道且已开启防火墙的VPC。	请咨询云防火墙钉钉群（群号：33081734）售后人员。
云企业网中VPC所在的地域存在VPC边界防火墙不支持的地域。	云企业网中VPC所在的地域存在VPC边界防火墙不支持的地域。相关内容，请参见支持的地域。
云企业网中同地域下已经存在了手动模式的防火墙。	请咨询云防火墙钉钉群（群号：33081734）售后人员。
云企业网中只有1个网络实例或不存在VPC。	云企业网中没有VPC或只有一个VPC，暂时不支持创建云防火墙，请加入更多VPC到云企业网进行重试。
同地域可以开启防火墙的VPC数量超过上限。	建议您使用云企业网转发路由器。相关信息，请咨询云防火墙钉钉群（群号：33081734）售后人员。
云企业网下跨账号的主账号未购买云防火墙。	请用主账号购买云防火墙。
VPC实例自定义路由数超过上限。	您可以前往专有网络管理控制台，选择运维与监控 > 配额管理页面，修改当前账号下VPC路由表的自定义路由配额。
VPC防火墙配额已满。	建议您提高防火墙配额。
校验网段是否重复配置, 目前只允许VBR和VBR的网段重复, VPC和VPC、VPC和VBR不能重复。	请咨询云防火墙钉钉群（群号：33081734）售后人员。
检查策略路由优先级配额不足。	请咨询云防火墙钉钉群（群号：33081734）售后人员。
云企业网中存在拒绝类型的路由策略（系统默认的优先级为5000拒绝类型路由策略除外）。	建议您删除相关路由策略，或咨询云防火墙钉钉群（群号：33081734）售后人员。
每个地域已创建VPC不超过该地域的VPC数目上限减一（即VPC边界防火墙会占用1个配额）。	如果配额已满，您需要前往专有网络管理控制台，选择配额管理页面修改VPC配额的上限。如果VPC配额上限已无法修改，请咨询云防火墙钉钉群（群号：33081734）售后人员。
云企业网发布的网段中存在公网网段, 忽略0.0.0.0/0, 防止公网私用导致单向访问slb触发断流。	请咨询云防火墙钉钉群（群号：33081734）售后人员。
校验配置了指向BR的上移路由。	请咨询云防火墙钉钉群（群号：33081734）售后人员。
在云企业网中VPC存在自定义路由表且绑定vSwitch。	您可以删除相关的自定义路由表或vSwitch解除绑定自定义路由表。
云企业网开墙后的路由数将超过路由数上限。	建议您收敛发布路由数到100条以内，或升级到云企业网CEN-TR架构。如有需要，请咨询云防火墙钉钉群（群号：33081734）售后人员。
转发路由器所在的地域不支持。	云企业网中转发路由器所在的地域存在VPC边界防火墙不支持的地域。相关内容，请参见支持的地域。
转发路由器中存在VPN类型连接。	请咨询云防火墙钉钉群（群号：33081734）售后人员。
转发路由器路由表中存在前缀列表。	建议您在VPC中发布路由代替使用路由前缀列表。
转发路由器路由表中存在黑洞路由。	请咨询云防火墙钉钉群（群号：33081734）售后人员。
转发路由器路由表中存在静态路由。	建议您在VPC中发布路由代替使用静态路由。
转发路由器路由表中存在路由冲突。	建议您在排查是否路由中存在被拒绝的路由。
转发路由器路由表中存在系统路由策略冲突。	建议您查看优先级为5000的系统路由策略的匹配条件源实例类型和目标实例类型中是否包含CCN，VBR，VPN，ECR类型。若不包含请联系云防火墙钉钉群（群号：33081734）售后人员。
转发路由器路由表中存在ipv6路由。	云防火墙暂不支持。
按量版云防火墙未开通VPC防火墙。	您可以前往云防火墙控制台开通VPC防火墙。相关内容，请参见按量付费。
当前云防火墙版本不支持VPC防火墙。	建议您升级云防火墙版本。相关内容，请参见升级和降配。
VPC防火墙资产同步未完成。	您可以前往云防火墙控制台, 在左侧导航栏选择防火墙开关 > VPC边界防火墙页面, 点击同步资产并等待5-10分钟。

互联网边界防火墙的作用是什么？

互联网边界防火墙支持接入多种公网资产，例如ECS公网IP、SLB公网IP、EIP等。开启互联网边界防火墙后，系统将资产出入互联网边界的流量转发到云防火墙，云防火墙会对流量进行检测和过滤，只允许满足放行条件的流量通过。更多内容，请参见互联网边界防火墙。

互联网边界防火墙是否支持防护IPv6资产？

支持。云防火墙已于2025年1月8日全面支持IPv6资产防护。

相关公告：【公告】云防火墙包年包月和按量版支持公网IPv6正式商业化
详细防护原理和资产类型：互联网防火墙防护原理

互联网边界防火墙支持防护的资产范围，请参见防护范围。

互联网边界防火墙是否会对网络流量产生影响？

如果仅开启互联网边界防火墙开关，未配置互联网边访问控制策略和入侵防御策略，云防火墙仅对流量进行检测和告警，不会进行拦截。

购买了云防火墙，互联网边界防火墙开关默认全部开启。

关闭互联网边界防火墙有什么影响？

关闭互联网边界防火墙，所有流量不会经过互联网边界防火墙，将会产生以下影响：

互联网边界防火墙的防护能力将会失效，包括互联网边界出入方向的访问控制策略、入侵防御等。
互联网边界流量数据统计不会更新，包括网络流量分析报表、流量日志等。

为什么开启互联网边界防火墙时提示SLB网络限制？

可能原因

在开启互联网边界防火墙时，控制台页面提示由于SLB所在网络限制，该IP所在网络不支持开启防火墙保护，可能是因为该SLB资产只有私网IP，不支持开启云防火墙保护。

解决方案

对于只有私网IP的资产，如果需要开启云防火墙防护，您可以通过绑定EIP，将流量牵引到云防火墙进行防护。具体操作，请参见私网CLB实例绑定和管理EIP。

免费版同步资产后，部分公网IP资产没有显示？

云防火墙免费版只能同步EIP资产，且新增资产需要T+1天才能同步到云防火墙。无法同步ECS公网IP、SLB公网IP。

开启VPC边界防火墙是否会影响ECS安全组规则？

不会。

开启VPC边界防火墙后，云防火墙会自动创建名为Cloud_Firewall_Security_Group的安全组和相应的放行策略，用于允许流量通过到VPC边界防火墙。Cloud_Firewall_Security_Group安全组仅对该VPC内的流量进行管控，您在之前创建的ECS安全组规则仍然有效，不会受到影响。因此，您无需迁移或修改ECS安全组规则。

创建VPC边界防火墙时，提示存在未授权的网络实例？

可能原因

云企业网中存在另一个阿里云账号下的专有网络VPC，并且该阿里云账号未授权云防火墙访问云资源。

解决方案

您通过未授权的阿里云账号登录云防火墙控制台，根据页面提示完成云防火墙服务角色授权。具体操作，请参见授权云防火墙访问云资源。

基础版转发路由器场景，开启VPC边界防火墙后多了一条拒绝路由策略？

通过基础版转发路由器连接的VPC（假设为VPC-test）开启VPC边界防火墙后，云防火墙会在该基础版转发路由器下创建一个名为Cloud_Firewall_VPC的VPC，并发布静态路由，用于将该基础版转发路由器下未开墙的VPC流量引入到云防火墙。

同时，云防火墙会在VPC-test内添加一条指向云防火墙ENI的静态路由，将VPC-test出方向的流量引入到云防火墙；并且创建一条拒绝路由策略，使得VPC-test不再学习云企业网发布的路由。

重要

请勿修改和删除上述的路由策略和路由表，否则会影响云防火墙引流，导致业务流量不通。

NAT边界防火墙为什么需要创建路由表和下发0.0.0.0/0静态路由？

开启NAT边界防火墙后，云防火墙会自动创建一个名为Cloud_Firewall_ROUTE_TABLE的自定义路由表，并添加路由0.0.0.0/0指向NAT网关，同时会修改系统路由表中的0.0.0.0/0路由条目，将其下一跳将指向云防火墙ENI，目的是将NAT网关出方向的流量引流到云防火墙。

重要

请勿修改或删除上述的路由表和路由条目，否则会影响云防火墙引流，导致业务流量不通。

同时开启互联网边界、NAT边界和DNS边界防火墙，出方向的流量如何匹配？

同时开启互联网边界、NAT边界和DNS边界防火墙，当ECS发起域名访问（出方向流量）时，流量匹配如下：

ECS发起DNS解析请求，解析请求会经过DNS边界防火墙，匹配DNS边界防火墙的访问控制策略。
ECS发起的私网流量经过NAT边界防火墙，匹配NAT边界防火墙的访问控制策略。
允许放行的私网流量经过NAT网关，由NAT网关将私网源IP转换成NAT公网IP。
NAT网关发送公网流量到互联网边界防火墙，匹配互联网边界防火墙的访问控制策略。
流量匹配云防火墙的威胁情报、基础防御、智能防御和虚拟补丁规则。

如果在上述过程中，流量未命中任何一个拒绝策略，则该流量成功访问域名；如果该过程流量命中任何一个拒绝策略时，流量会被拒绝，将无法访问域名。

如何高效开启和配置云防火墙互联网边界访问控制策略？

云计算已成为企业数字化转型的必然选择，更广泛的云技术方案构成了更复杂的业务架构，安全边界变得更加模糊。企业可通过云防火墙构建云上网络边界防护能力，但是如果互联网IP数量多，需要设置的访问控制策略会很复杂。

云防火墙提供了AI智能策略，可以自动学习近30日的流量情况、以及云上IP资产、服务被访问和主动外联的情况，为每个目的IP或域名自动建议合适的互联网边界访问控制策略，缩小资产在互联网中的暴露面，阻断内到外的恶意IP和域名，降低业务入侵风险。

关于如何下发互联网边界防火墙的智能访问控制策略，请参见配置互联网边界访问控制策略。

云企业网TR企业版自动引流创建VPC防火墙新旧版本有什么区别？

云防火墙对云企业网TR企业版的VPC边界防火墙部分功能进行调整，自动引流创建的防火墙VPC，由用户账号归属改为了云服务账号托管，主要有以下区别：

防火墙VPC归属：新版本中防火墙VPC不再归属于用户账号，而是归属于云防火墙后台账号，您无法查看和修改防火墙VPC的资源和配置，同时不占用您的VPC地域规格。
计费方式：旧版VPC防火墙引流架构中，除了转发路由器和业务VPC之间的TR流量传输费用外，转发路由器和防火墙VPC之间也会产生TR流量传输费用，这部分费用由用户承担。而新版的防火墙VPC归属云防火墙，转发路由器和防火墙VPC之间的TR流量传输费由云防火墙承担，用户无需再支付这部分费用。
开启VPC防火墙操作：创建VPC边界防火墙时不需要再输入3个交换机网段，只需要输入1个至少27位不与网络规划冲突的网段来分配给创建防火墙过程所需交换机。如您需要配置企业版VPC防火墙，具体操作，请参见配置企业版转发路由器的VPC边界防火墙。

启用新版本TR企业版VPC防火墙的步骤

重要

限制要求：仅支持自动引流，并且云防火墙版本要求是按量版或者包年包月版开启流量超量后付费功能。

未创建VPC边界防火墙：先开启超量弹性计费（按量版客户可省略），再创建VPC边界防火墙。
警告
必须严格按此顺序执行。
已创建VPC边界防火墙：
- 删除引流场景，删除已创建的VPC边界防火墙。
- 开启超量弹性计费（按量版客户可省略）。
- 重新创建VPC边界防火墙和引流场景。
开启超量弹性计费具体操作，请参见包年包月弹性流量后付费。

接入云防火墙是否有延迟？

有。

同region不同AZ延迟增加4-8ms，同AZ延迟增加2-3ms。