售前常见问题

更新时间: 2023-07-14 10:57:17

本文介绍使用云防火墙前的常见问题解决方案。

为什么使用云防火墙需要授权?

您授权云防火墙访问当前阿里云账号下的云资产,例如云服务器ECS(Elastic Compute Service)实例列表、专有网络VPC(Virtual Private Cloud)实例列表、负载均衡SLB(Server Load Balancer)实例列表等,才能在云防火墙控制台看到云资产的流量请求和响应情况,以及云资产之间的私网业务访问情况,并根据这些数据的分析结果配置访问控制策略。

您只有使用阿里云账号或拥有管理访问控制权限(AliyunRAMFullAccess)的RAM用户身份,才能授权云防火墙访问云资源。关于授权的具体操作,请参见授权云防火墙访问云资源

云防火墙是否支持防护L2 EIP?

支持。云防火墙支持防护的资产范围,请参见什么是云防火墙

云防火墙是否支持防护经典网络?

仅支持经典网络中存在公网IP的ECS实例和部分SLB。主机边界防火墙支持防护VPC间的流量,不支持防护经典网络。

云防火墙是否支持对公网SLB的访问?

阿里云提供公网和私网两种类型的负载均衡(SLB)服务。由于历史网络架构的原因,部分公网SLB不支持云防火墙引流,推荐您采用私网SLB加EIP的方案,将流量牵引到云防火墙上进行防护。

采用云防火墙后,数据从云防火墙流入DNAT(EIP),再流入私网SLB。

云防火墙是否支持对高速通道(专线VBR)和云企业网的访问控制?

支持。具体说明如下:

  • 高速通道场景下,目前只支持同地域VPC和VPC互访的防护,不支持VPC和VBR互访的防护。

  • 云企业网场景下,支持VPC和VPC、VPC和VBR之间互访的防护。

说明

如果需要云防火墙防护跨地域的VPC间互访或者VPC和VBR互访的流量,您需要将高速通道对等连接的专有网络VPC(Virtual Private Cloud)平滑迁移至云企业网。相关内容请参见已使用对等连接的VPC迁移至云企业网

云防火墙是否有抗APT攻击的能力?

有。云防火墙内置的威胁情报功能具备防范APT攻击的能力。

云防火墙是否支持防护通过VPN网关访问VPC的流量?

不支持。如果您从互联网通过VPN远程访问云企业网中的VPC,该流量会被VPN加密,云防火墙将无法解析该流量。

哪些流量会占用云防火墙的防护带宽?

云防火墙的防护带宽包含公网互访流量和VPC间的互访流量。公网之间的流量会占用公网防护带宽,VPC之间的流量会占用VPC的防护带宽。具体信息,请参见云防火墙购买页

云防火墙在阿里云网络中的位置是什么?

云防火墙有3个控制单元:

  • 互联网边界防火墙:部署于EIP的前面(即EIP出互联网方向的第一个防护节点),对公网EIP进行控制(高级版、企业版和旗舰版)。

  • VPC边界防火墙:部署于VPC和VPC间的边界,对ECS的私网地址进行控制(企业版和旗舰版)。

  • 主机防火墙:即安全组,对ECS实例间的入流量和出流量进行控制(企业版和旗舰版)。

下图展示了部分阿里云产品(包括云防火墙)的逻辑关系。逻辑图

同时使用云防火墙、WAF、DDoS高防等安全产品,云防火墙具体防护什么?

与Web应用防火墙WAF、DDoS高防等安全产品同时使用如上图所示。云防火墙防护的是WAF和DDoS高防的源站IP。

同时使用云防火墙、CDN,云防火墙具体防护什么?

与内容分发网络CDN(Content Delivery Network)同时使用时,云防火墙防护的是CDN的源站IP。

云防火墙是否支持与OSS、RDS同时使用?

目前云防火墙支持与阿里云对象存储OSS(Object Storage Service)、关系型数据库RDS(Relational Database Service)同时使用,但是不支持防护私网到OSS,RDS的流量。

默认情况下,RDS实例被设置为不允许任何IP(即白名单为127.0.0.1)访问,包括内网访问和外网访问。您可以通过RDS控制台的数据安全性页面或者API来添加白名单。白名单的更新无需重启RDS实例,因此不会影响您的业务。

如果您使用的是在ECS上自建的RDS数据库,则可以通过VPC边界防火墙来实现对自建RDS的防护。更多内容,请参见VPC边界

同时使用DDoS、WAF、云防火墙、SLB、ALB、ECS时,业务流量如何走向?

  • 同时使用了DDoS、CNAME WAF、云防火墙、SLB、ECS,则业务的流量走向为:

    DDoS->CNAME WAF->云防火墙->SLB->ECS

  • 同时使用了DDoS、透明WAF、云防火墙、ALB、ECS,则业务的流量走向为:

    DDoS->云防火墙->透明WAF->ALB->ECS

杭州金融云基础版云防火墙与其他版本有哪些差异?

当您有如下需求时,可以将杭州金融云基础版云防火墙升级到高级版、企业版、旗舰版:

  • 期望了解云上业务对外开放了哪些公网IP和哪些端口,应用开放的IP和端口有什么风险。

  • 有等保需求,需要保持6个月以上的日志。

  • 有基于域名的访问控制需求,期望对失陷主机的主动外联进行控制,控制只允许对外访问某些域名和IP。

  • 有FTP、MQTT动态端口协议的应用,需要基于应用进行访问控制。

  • 除了杭州金融云,还有其他地域的资源需要通过云防火墙防护。

关于云防火墙版本升级的方法,请参见升级和降配

不同的版本支持的功能不同,您可以单击某个版本,在版本描述下查看当前版本的功能说明。更多信息,请参见功能特性

您可以参考以下表格,对比杭州金融云基础版云防火墙与其他商业化版本差异点。

说明

其中true表示支持,false表示不支持。

支持的功能

描述

杭州金融云基础版

高级版

企业版

防火墙

基于IP+Port的访问控制

truefalsefalse

基于应用的访问控制

falsetruetrue

基于域名的访问控制

falsetruetrue

主动外联活动检测

falsetruetrue

入侵检测

IPS基础检测

falsetruetrue

虚拟补丁

falsetruetrue

威胁情报

falsetruetrue

网络活动

互联网访问活动分析

falsetruetrue

主动外联活动

falsetruetrue

入侵检测活动

falsetruetrue

IPS阻断分析

falsetruetrue

全量活动搜索

falsetruetrue

日志

支持安全日志、流量日志和操作日志,存储6个月

falsetruetrue

微隔离

网络拓扑可视、业务拓扑可视

falsefalsetrue

微隔离能力(东西向访问控制)

falsefalsetrue

其他

支持区域

仅杭州地域

仅支持1个地域

支持多个地域(共3个)

性能

带宽(互联网防火墙吞吐量)

false

默认10 Mbps,可扩展

默认50 Mbps,可扩展

微隔离支持资产数量(ECS)

falsefalse

默认支持50台,可扩展

防火墙支持防护的公网IP数量(EIP)

false

20

100

支持最大策略数

200

1000

2000

云防火墙最多支持几个跨账号部署?

云防火墙高级版、企业版、旗舰版支持统一账号管理功能(即跨账号部署)。关于各版本支持的管控数,请参见云防火墙各版本功能与计费项。如果您需要添加更多的成员账号,需要升级云防火墙规格,扩充多账号管控数。具体操作,请参见升级和降配

阿里云首页 云防火墙 相关技术圈