云防火墙开关常见问题

本文介绍开启或关闭防火墙开关时可能遇到的问题,包括开启防火墙对业务的影响、开墙后的路由和流量变化等。

开启防火墙开关对业务有什么影响?

防火墙类型

对业务的影响

互联网边界防火墙

创建、开启及关闭互联网边界防火墙时,您无需更改当前的网络拓扑,可以将资源一键秒级接入保护或关闭保护,对业务无影响。

NAT边界防火墙

  • 创建NAT边界防火墙、关闭后删除NAT边界防火墙对业务无影响。

    创建时长与NAT网关绑定的EIP数量有关,每增加一个EIP,创建时间约增加2~5分钟。

  • 开启和关闭NAT边界防火墙,预计需要10秒钟左右,过程中会出现1~2秒的长连接闪断,短连接无影响。

高速通道VPC边界防火墙

基础版转发路由器VPC边界防火墙

  • 创建VPC边界防火墙、关闭后删除VPC边界防火墙对业务无影响。

    创建时长约5分钟。

  • 开启和关闭VPC边界防火墙,预计约需要5~30分钟(取决于路由条目数),过程中会出现长连接秒级闪断,短连接无影响。

    说明

    建议在开启VPC边界防火墙之前检查您的应用程序是否支持TCP自动重传机制,并密切关注应用连接状态,以避免由于未配置重传机制而导致的连接中断。

企业版转发路由器VPC边界防火墙

自动引流

  • 创建VPC边界防火墙、关闭后删除VPC边界防火墙对业务无影响。

    创建时长约5分钟。

  • 开启和关闭VPC边界防火墙,预计约需要5~30分钟(取决于路由条目数),对业务无影响。

手动引流

  • 创建VPC边界防火墙、关闭后删除VPC边界防火墙对业务无影响。

    创建时长约5分钟。

  • 开启和关闭VPC边界防火墙,业务影响时间不定,取决于切流方式。

为什么当前账号无法开启云防火墙?

可能原因

登录云防火墙控制台时,页面提示当前账号无法开启云防火墙。可能原因如下:

  • 当前账号为阿里云账号(主账号)且已被其他阿里云账号添加为成员账号进行统一管理。

  • 当前账号为RAM用户(子账号)且未完成授权。

解决方案

您可以移动光标到控制台页面右上角的登录账号头像处,查看账号ID

  • 如果账号ID是以1开头的一串数字,表示该账号为阿里云账号(主账号)。

    此时,您需要使用统一管理该账号的管理员账号登录云防火墙控制台,开通云防火墙服务后,为成员账号的云资产开启防护。具体操作,请参见购买云防火墙服务

  • 如果账号ID是以2开头的一串数字,表示该账号为RAM用户(子账号)。您需要使用该账号所属的阿里云账号(主账号)对该账号授予createSlrAliyunYundunCloudFirewallReadOnlyAccessAliyunYundunCloudFirewallFullAccess权限。授权的具体操作,请参见为RAM用户授权

    其中,createSlr是自定义权限策略,需要创建自定义权限策略,具体的脚本内容如下。具体操作,请参见创建自定义权限策略

    {
        "Statement": [
            {
                "Action": [
                    "ram:CreateServiceLinkedRole"
                ],
                "Resource": "acs:ram:*:166032244439****:role/*",
                "Effect": "Deny",
                "Condition": {
                    "StringEquals": {
                        "ram:ServiceName": [
                            "cloudfw.aliyuncs.com"
                        ]
                    }
                }
            }
        ],
        "Version": "1"
    }
    说明

    Resource参数的格式为acs:ram:*:阿里云账号(主账号)ID:role/*阿里云账号(主账号)ID填写为RAM用户(子账号)所属的主账号ID。

互联网边界防火墙的作用是什么?

互联网边界防火墙支持接入多种公网资产,例如ECS公网IP、SLB公网IP、EIP等。开启互联网边界防火墙后,系统将资产出入互联网边界的流量转发到云防火墙,云防火墙会对流量进行检测和过滤,只允许满足放行条件的流量通过。更多内容,请参见互联网边界防火墙

互联网边界防火墙是否支持防护IPv6资产?

支持。互联网边界防火墙支持防护ECS IPv6、SLB IPv6等公网资产。互联网边界防火墙支持防护的资产范围,请参见防护范围

互联网边界防火墙是否会对网络流量产生影响?

如果仅开启互联网边界防火墙开关,未配置互联网边访问控制策略和入侵防御策略,云防火墙仅对流量进行检测和告警,不会进行拦截。

购买了云防火墙,互联网边界防火墙开关默认全部开启。

关闭互联网边界防火墙有什么影响?

关闭互联网边界防火墙,所有流量不会经过互联网边界防火墙,将会产生以下影响:

  • 互联网边界防火墙的防护能力将会失效,包括互联网边界出入方向的访问控制策略、入侵防御等。

  • 互联网边界流量数据统计不会更新,包括网络流量分析报表、流量日志等。

为什么开启互联网边界防火墙时提示SLB网络限制?

可能原因

在开启互联网边界防火墙时,控制台页面提示由于SLB所在网络限制,该IP所在网络不支持开启防火墙保护,可能是因为该SLB资产只有私网IP,不支持开启云防火墙保护。

解决方案

对于只有私网IP的资产,如果需要开启云防火墙防护,您可以通过绑定EIP,将流量牵引到云防火墙进行防护。具体操作,请参见私网CLB实例绑定和管理EIP

免费版同步资产后,部分公网IP资产没有显示?

云防火墙免费版只能同步EIP资产,且新增资产需要T+1天才能同步到云防火墙。无法同步ECS公网IP、SLB公网IP。

开启VPC边界防火墙是否会影响ECS安全组规则?

不会。

开启VPC边界防火墙后,云防火墙会自动创建名为Cloud_Firewall_Security_Group的安全组和相应的放行策略,用于允许流量通过到VPC边界防火墙。Cloud_Firewall_Security_Group安全组仅对该VPC内的流量进行管控,您在之前创建的ECS安全组规则仍然有效,不会受到影响。因此,您无需迁移或修改ECS安全组规则。

创建VPC边界防火墙时,提示存在未授权的网络实例?

可能原因

云企业网中存在另一个阿里云账号下的专有网络VPC,并且该阿里云账号未授权云防火墙访问云资源。

解决方案

您通过未授权的阿里云账号登录云防火墙控制台,根据页面提示完成云防火墙服务角色授权。具体操作,请参见授权云防火墙访问云资源

基础版转发路由器场景,开启VPC边界防火墙后多了一条拒绝路由策略?

通过基础版转发路由器连接的VPC(假设为VPC-test)开启VPC边界防火墙后,云防火墙会在该基础版转发路由器下创建一个名为Cloud_Firewall_VPC的VPC,并发布静态路由,用于将该基础版转发路由器下未开墙的VPC流量引入到云防火墙。

同时,云防火墙会在VPC-test内添加一条指向云防火墙ENI的静态路由,将VPC-test出方向的流量引入到云防火墙;并且创建一条拒绝路由策略,使得VPC-test不再学习云企业网发布的路由。

重要

请勿修改和删除上述的路由策略和路由表,否则会影响云防火墙引流,导致业务流量不通。

NAT边界防火墙为什么需要创建路由表和下发0.0.0.0/0静态路由?

开启NAT边界防火墙后,云防火墙会自动创建一个名为Cloud_Firewall_ROUTE_TABLE的自定义路由表,并添加路由0.0.0.0/0指向NAT网关,同时会修改系统路由表中的0.0.0.0/0路由条目,将其下一跳将指向云防火墙ENI,目的是将NAT网关出方向的流量引流到云防火墙。

重要

请勿修改或删除上述的路由表和路由条目,否则会影响云防火墙引流,导致业务流量不通。

同时开启互联网边界、NAT边界和DNS边界防火墙,出方向的流量如何匹配?

同时开启互联网边界、NAT边界和DNS边界防火墙,当ECS发起域名访问(出方向流量)时,流量匹配如下:

  1. ECS发起DNS解析请求,解析请求会经过DNS边界防火墙,匹配DNS边界防火墙的访问控制策略。

  2. ECS发起的私网流量经过NAT边界防火墙,匹配NAT边界防火墙的访问控制策略。

  3. 允许放行的私网流量经过NAT网关,由NAT网关将私网源IP转换成NAT公网IP。

  4. NAT网关发送公网流量到互联网边界防火墙,匹配互联网边界防火墙的访问控制策略。

  5. 流量匹配云防火墙的威胁情报、基础防御、智能防御和虚拟补丁规则。

如果在上述过程中,流量未命中任何一个拒绝策略,则该流量成功访问域名;如果该过程流量命中任何一个拒绝策略时,流量会被拒绝,将无法访问域名。

image

如何高效开启和配置云防火墙互联网边界访问控制策略?

云计算已成为企业数字化转型的必然选择,更广泛的云技术方案构成了更复杂的业务架构,安全边界变得更加模糊。企业可通过云防火墙构建云上网络边界防护能力,但是如果互联网IP数量多,需要设置的访问控制策略会很复杂。

云防火墙提供了AI智能策略,可以自动学习近30日的流量情况、以及云上IP资产、服务被访问和主动外联的情况,为每个目的IP或域名自动建议合适的互联网边界访问控制策略,缩小资产在互联网中的暴露面,阻断内到外的恶意IP和域名,降低业务入侵风险。

关于如何下发互联网边界防火墙的智能访问控制策略,请参见配置互联网边界访问控制策略