售前常见问题

更新时间: 2023-11-16 16:39:48

本文介绍使用云防火墙前的常见问题解决方案。

功能特性相关

按量付费版相关

防护范围相关

与其他云产品的关系

为什么使用云防火墙需要授予服务关联角色(AliyunServiceRoleForCloudFW)?

您授权云防火墙访问当前阿里云账号下的云资产,例如云服务器ECS(Elastic Compute Service)实例列表、专有网络VPC(Virtual Private Cloud)实例列表、负载均衡SLB(Server Load Balancer)实例列表等,才能在云防火墙控制台看到云资产的流量请求和响应情况,以及云资产之间的私网业务访问情况,并根据这些数据的分析结果配置访问控制策略。

您只有使用阿里云账号或拥有管理访问控制权限(AliyunRAMFullAccess)的RAM用户身份,才能授权云防火墙访问云资源。关于授权的具体操作,请参见授权云防火墙访问云资源

如何关闭云防火墙按量版?

登录云防火墙控制台概览页面右上角,单击自助释放。具体信息,请参见手动释放按量付费版实例

为什么关闭云防火墙按量付费版后还在扣费?

云防火墙按量付费版以天为单位计费,每天18:00左右会统计前一天的费用并进行结算。即当日关闭的云防火墙按量版,次日还会推送一次账单。具体信息,请参见按量付费

如何查看云防火墙按量付费流量使用明细?

登录云防火墙控制台设置 > 账单管理页面,查看按量付费流量使用明细。具体操作,请参见查看按量付费流量使用明细

云防火墙按量付费版怎么收费?

云防火墙按量付费版按照实际用量结算,以天为单位计费,每天18:00统计前一天的费用并进行结算。云防火墙按量付费版的费用计算公式:每日账单费用=每日产生的公网IP配置费+每日产生的流量处理费。具体信息,请参见按量付费

如果您购买了按量节省套餐包,会按照购买的折扣进行抵扣。具体内容,请参见按量节省套餐包

如何将云防火墙包年包月版转按量付费版,有什么影响?

云防火墙包年包月版不允许直接转换为按量付费版。如果需要将包年包月版转换为按量付费版,您可以释放包年包月版后,重新购买云防火墙按量付费版。

具体操作和释放包年包月版的注意事项,请参见包年包月版转换按量付费版

如何将云防火墙按量付费版转包年包月版,有什么影响?

您可以根据业务需要,将云防火墙的计费模式由按量付费平滑转换为包年包月模式。具体操作和注意事项,请参见按量付费版转换为包年包月版

什么是云防火墙按量节省套餐,如何使用?

按量节省套餐包是云防火墙推出的一种折扣权益计划,您可以通过承诺在一定期限内消费一定的金额,来换取较低的按量付费折扣。您的承诺消费金额越大,享受的折扣越大,可节省更多成本。具体信息和操作步骤,请参见按量节省套餐包

云防火墙按量版和包年包月版有什么区别?

云防火墙是否支持防护L2 EIP?

支持。云防火墙支持防护的资产范围,请参见什么是云防火墙

云防火墙是否支持防护经典网络?

仅支持经典网络中存在公网IP的ECS实例和部分SLB。主机边界防火墙支持防护VPC间的流量,不支持防护经典网络。

云防火墙是否支持对公网SLB的访问?

阿里云提供公网和私网两种类型的负载均衡(SLB)服务。由于历史网络架构的原因,部分公网SLB不支持云防火墙引流,推荐您采用私网SLB加EIP的方案,将流量牵引到云防火墙上进行防护。

采用云防火墙后,数据从云防火墙流入DNAT(EIP),再流入私网SLB。

云防火墙是否支持对高速通道(专线VBR)和云企业网的访问控制?

支持。具体说明如下:

  • 高速通道场景下,目前只支持同地域VPC和VPC互访的防护,不支持VPC和VBR互访的防护。

  • 云企业网场景下,支持VPC和VPC、VPC和VBR之间互访的防护。

说明

如果需要云防火墙防护跨地域的VPC间互访或者VPC和VBR互访的流量,您需要将高速通道对等连接的专有网络VPC(Virtual Private Cloud)平滑迁移至云企业网。相关内容请参见已使用对等连接的VPC迁移至云企业网

云防火墙是否有抗APT攻击的能力?

有。云防火墙内置的威胁情报功能具备防范APT攻击的能力。

互联网边界防火墙是否支持防护访问公网VPN的流量?

不支持。如果您从互联网访问公网VPN,该流量会被VPN加密,互联网边界防火墙无法对加密流量进行检测防护。

VPC边界防火墙是否支持防护通过IPsec-VPN访问VPC的流量?

首先需要明确您的网络部署情况,VPC边界防火墙是否支持防护分以下三种情况:

第一种:如果您的网络中IPsec-VPN通过绑定云企业网转发路由器的方式部署,将IPsec-VPN与业务VPC的网络打通。这种情况下VPC边界防火墙支持防护。

例如网络部署如下,VPC边界防火墙支持防护企业办公网与业务VPC之间的流量。

image

第二种:如果您的网络中IPsec-VPN通过绑定VPN网关的方式部署在业务VPC内,且业务中存在跨VPC访问的流量(CEN、VPC对等连接)。这种情况下,云防火墙支持防护跨业务VPC访问的流量。

例如网络部署如下,VPC边界防火墙不支持防护企业办公网到IPsec-VPN所在VPC之间的流量,但是支持企业办公网与其他业务VPC(与IPsec-VPN所在VPC网络打通的其他VPC)之间的流量。

image

如果您的业务必须防护通过IPsec-VPN访问其他业务VPC的流量,可以对网络进行改造,将IPsec-VPN部署到一个单独的VPC上,这样云防火墙就可以防护IPsec-VPN所在VPC到其他业务VPC的流量。

第三种:如果您的网络中IPsec-VPN通过绑定VPN网关的方式部署在业务VPC内,业务中不存在跨VPC访问的流量。这种情况下VPC边界防火墙不支持防护。

例如网络部署如下,VPC边界防火墙不支持防护企业办公网与业务VPC之间的流量。

image

哪些流量会占用云防火墙的防护带宽?

云防火墙的防护带宽包含公网流量处理能力VPC流量处理能力NAT私网流量处理能力。具体信息,请参见云防火墙购买页

云防火墙在阿里云网络中的位置是什么?

下图展示了部分阿里云产品(包括云防火墙)的逻辑关系。

image

同时使用DDoS、WAF、云防火墙,业务流量如何走向?

  • 同时使用了DDoS、WAF(CNAME接入)、云防火墙,则业务的流量走向为:

    DDoS->WAF->云防火墙->后台服务

  • 同时使用了DDoS、WAF(云产品接入)、云防火墙,则业务的流量走向为:

    DDoS->云防火墙->WAF->后台服务

金融云基础版云防火墙与其他版本有哪些差异?

当您有如下需求时,可以将金融云基础版云防火墙升级到云防火墙的公有云高级版、企业版、旗舰版:

  • 期望了解云上业务对外开放了哪些公网IP和端口,应用开放的IP和端口有什么风险。

  • 有等保需求,需要保持6个月以上的日志。

  • 有基于域名的访问控制需求,期望对失陷主机的主动外联进行控制,控制只允许对外访问某些域名和IP。

  • 有FTP、MQTT动态端口协议的应用,需要基于应用进行访问控制。

  • 除了杭州金融云,还有其他地域的资源需要通过云防火墙防护。

关于云防火墙版本升级的方法,请参见升级和降配

不同的版本支持的功能不同,您可以单击某个版本,在版本描述下查看当前版本的功能说明。更多信息,请参见功能特性

您可以参考以下表格,对比金融云基础版云防火墙与其他商业化版本差异点。

说明

其中true表示支持,false表示不支持。

支持的功能

描述

金融云基础版

高级版

企业版

旗舰版

防火墙

基于IP+端口的访问控制

对错错对

基于应用的访问控制

错对对对

基于域名的访问控制

错对对对

主动外联活动检测

错对对对

入侵检测

IPS基础检测

错对对对

虚拟补丁

错对对对

威胁情报

错对对对

网络活动

互联网访问活动分析

错对对对

主动外联活动

错对对对

入侵检测活动

错对对对

IPS阻断分析

错对对对

全量活动搜索

错对对对

日志

支持安全日志、流量日志和操作日志,存储6个月

错对对对

业务可视

安全组可视

错错对对

自定义分组

错错对对

应用分组可视

错错对对

支持的地域

支持区域

仅杭州地域

请参见支持的地域

请参见支持的地域

请参见支持的地域

性能

公有云版本可扩展的规格详情,请参见包年包月

防火墙支持防护的公网IP数量

错

默认20个,可扩展

默认50个,可扩展

默认400个,可扩展

公网流量处理能力(公网方向可防护的流量峰值,入向出向取其高)

错

默认10 Mbps,可扩展

默认50 Mbps,可扩展

默认200 Mbps,可扩展

可防护的VPC边界防火墙数

错错

默认2个,可扩展

默认5个,可扩展

VPC流量处理能力(可防护的VPC间的总流量峰值)

错错

默认200 Mbps,可扩展

默认1,000 Mbps,可扩展

可防护的NAT防火墙数

错

默认0个,可扩展

默认1个,可扩展

默认2个,可扩展

NAT私网流量处理能力

错

默认0 Mbps,可扩展

默认10 Mbps,可扩展

默认20 Mbps,可扩展

支持最大策略数

1000

互联网边界防火墙策略授权规格:默认4,000个,可扩展

  • 互联网边界防火墙:默认10,000个,可扩展

  • NAT边界防火墙:默认10,000个,可扩展

  • VPC边界防火墙:默认10,000个,可扩展

  • 互联网边界防火墙:默认20,000个,可扩展

  • NAT边界防火墙:默认20,000个,可扩展

  • VPC边界防火墙:默认20,000个,可扩展

云防火墙最多支持几个跨账号部署?

云防火墙高级版、企业版、旗舰版支持统一账号管理功能(即跨账号部署)。关于各版本支持的管控数,请参见计费项说明。如果您需要添加更多的成员账号,需要升级云防火墙规格,扩充多账号管控数。具体操作,请参见升级和降配

阿里云首页 云防火墙 相关技术圈