首页 云防火墙 操作指南 防火墙开关 云防火墙开关常见问题

云防火墙开关常见问题

更新时间: 2023-09-06 18:03:17

本文介绍云防火墙开关常见问题的解决方案。

为什么当前账号无法开启云防火墙?

使用阿里云账号登录云防火墙控制台,控制台界面上展示当前账号无法开启云防火墙。考虑如下两个原因:

  • 当前账号为阿里云账号(主账号)且已被其他阿里云账号添加为成员账号进行统一管理。

  • 当前账号为RAM用户(子账号)且未完成授权。

您可以将光标移至控制台界面右上角登录账号头像处,查看账号ID

  • 如果账号ID是以1开头的一串数字,表示该账号为阿里云账号(主账号)。请您使用统一管理该账号的阿里云账号登录云防火墙控制台,您登录成功后可以为该账号下的云资产开启防护。

  • 如果账号ID是以2开头的一串数字,表示该账号为RAM用户(子账号)。您需要对该账号授予createSlrAliyunYundunCloudFirewallReadOnlyAccessAliyunYundunCloudFirewallFullAccess权限。

    关于如何授权,请参见为RAM用户授权。其中,createSlr是自定义权限策略。具体的脚本如下,具体操作,请参见创建自定义权限策略

    {
        "Statement": [
            {
                "Action": [
                    "ram:CreateServiceLinkedRole"
                ],
                "Resource": "acs:ram:*:166032244439****:role/*",
                "Effect": "Deny",
                "Condition": {
                    "StringEquals": {
                        "ram:ServiceName": [
                            "cloudfw.aliyuncs.com"
                        ]
                    }
                }
            }
        ],
        "Version": "1"
    }
    说明

    Resource参数的格式为acs:ram:*:阿里云账号(主账号)的UID:role/*。阿里云账号(主账号)的UID表示RAM用户(子账号)所属主账号的UID。

同时开启了互联网边界防火墙、NAT防火墙和DNS防火墙,出方向的流量如何匹配?

当ECS发起域名访问(出方向)时,首先发起DNS解析,DNS请求会经过DNS防火墙,匹配DNS防火墙访问控制策略;然后ECS发起的私网流量经过NAT防火墙,匹配NAT防火墙访问控制策略;然后流量经过NAT网关,由NAT网关将私网源IP转换成NAT公网IP;最后公网流量再经过互联网边界防火墙到互联网,匹配互联网边界防火墙访问控制策略。如果该过程流量未命中任何一个防火墙的拒绝策略,则该流量成功访问域名;如果该过程流量命中任何一个防火墙的拒绝策略时,流量会被拒绝,导致无法访问域名。

当公网访问ECS(入方向)时,流量只经过互联网边界防火墙,匹配互联网边界防火墙访问控制策略。

互联网边界防火墙的作用是什么?

对于未开启互联网边界防火墙的公网IP资产,网络流量不会经过互联网边界防火墙,只经过主机防火墙(即安全组),最终到达您的ECS实例。

对于开启了互联网边界防火墙的公网IP资产,流量经过边界防火墙检测和过滤后,再经过主机防火墙,最终到达您的ECS实例。如果仅开启互联网边界防火墙开关、未配置云防火墙的访问控制策略也未设置入侵防御策略,云防火墙将仅对该流量进行检测和告警、不会进行拦截。

互联网边界防火墙开关开启或关闭时网络流量路径如下图所示:流量图

互联网边界防火墙是否支持保护IPv6资产?

支持。可以保护ECS IPv6公网资产,包括对ECS IPv6、SLB IPv6公网资产的访问控制、入侵防护、日志分析功能。关于互联网边界防火墙可以防护的云资产,请参见防护范围

开启互联网边界防火墙开关是否会对网络流量产生影响?

购买了云防火墙,互联网边界防火墙开关默认全部开启。如果仅开启互联网边界防火墙开关、未配置云防火墙的访问控制策略也未设置入侵防御策略,云防火墙将仅对该流量进行检测和告警、不会进行拦截。

关闭互联网边界防火墙开关有什么影响?

关闭互联网边界防火墙开关可能会产生以下影响:

  • 网络流量分析 > 互联网访问活动页面中,网络流量分析部分图表可能无数据。

  • 如果配置了出方向或者入方向访问的控制策略,关闭互联网边界防火墙开关将会使该主机对应的访问控制策略失效,表现为该访问控制策略的命中次数保持不变。

  • 所有流量将不会经过云防火墙,入侵防御功能将会失效。

  • 日志分析 > 日志审计页面中的流量日志页签,将不会显示防火墙开关关闭后的流量数据。

  • 所有流量将不会经过云防火墙,网络抓包抓取不到开关关闭后的流量数据,设置 > 工具箱页面中的网络抓包模块也不会展示对应IP的报文信息。详细内容,请参见网络抓包

相关操作,请参见互联网边界防火墙

为什么无法开启互联网边界防火墙开关?

云防火墙控制台互联网边界防火墙列表中,部分资产无法开启边界防火墙保护(开启保护开关不可操作,并提示由于SLB所在网络限制,该IP所在网络不支持开启防火墙保护)。

该SLB资产只有私网IP,不支持开启云防火墙保护,因此部分资产无法开启互联网边界防火墙。

对于资产只有私网SLB的情况,建议您采用私网SLB加EIP的方案,将流量牵引到云防火墙上进行防护。具体操作,请参见绑定和管理EIP

互联网边界防火墙支持防护哪些公网IP类型?

云防火墙支持以下类型的公网IP引流,即可以对您以下类型的公网资产提供防护:

  • ENI EIP(支持绑定到专有网络类型的ECS实例、专有网络类型的私网SLB实例、弹性网卡和NAT网关上)

  • NatPublicIP(ECS系统分配的公网IP)

  • SLB EIP(绑定到专有网络SLB的EIP)

  • 堡垒机

资产同步慢,单击同步资产后没显示公网资产?

云防火墙免费版只能看到EIP资产,不会同步ECS公网IP。

开启VPC边界防火墙开关是否对网络流量会产生影响?

开启VPC边界防火墙开关之前,需要评估以下限制:目前,开启或关闭VPC边界防火墙云企业网企业版不受影响,云企业网基础版会触发长连接重置。如果您的VPC内正在使用内网SLB,您在开启VPC边界防火墙前需要检查您的应用程序是否支持TCP自动重传机制,并关注应用连接状态,避免未配置重传机制导致的连接中断。

开启VPC边界防火墙后,ECS安全组规则是否会受到影响?

不会。开启VPC边界防火墙后会自动添加名称为Cloud_Firewall_Security_Group的安全组和放行策略,用于放行到VPC边界防火墙的流量。

开启VPC边界防火墙后自动创建的安全组仅对该VPC之间的流量进行管控,您原来已创建的ECS安全组规则仍然生效并不受影响。因此,无需您对ECS安全组规则做任何迁移或修改。

为云企业网创建VPC边界防火墙时,为什么提示未授权?

如果您的阿里云账号下的云企业网中,存在另一个账号开通的专有网络VPC,需要先授权云防火墙访问该VPC所属阿里云账号下的云资产。

针对此场景,如果您未完成对该VPC所属阿里云账号的授权,为该VPC创建VPC边界防火墙时,页面会提示存在未授权的网络实例,不允许创建

CEN-TR基础版场景,已经开启VPC防火墙,为什么会多了一条动作为拒绝的路由策略?

假设开启VPC-test的防火墙后,VPC防火墙会创建一个名称Cloud_Firewall_VPC的VPC,并发布静态路由,目的是将其他未开墙VPC的流量引入到云防火墙。同时会在VPC-test内添加静态指向防火墙ENI,并创建一条拒绝的路由策略,使得VPC-test不再学习CEN发布的路由,VPC-test出方向的流量通过静态路由将流量引入到云防火墙。

重要

请勿修改和删除路由策略和路由表,否则会影响云防火墙引流,并导致业务流量不通。

NAT防火墙1.0场景,云防火墙为什么会创建1个路由表,并下发0.0.0.0/0的静态路由?

开启NAT防火墙1.0后,会自动创建1个自定义路由表,并添加路由0.0.0.0/0指向NAT网关,同时系统路由表会修改路由将0.0.0.0/0指向防火墙ENI,目的是将NAT网关出方向的流量引流到云防火墙。

重要

请勿修改和删除路由表,否则会影响云防火墙引流,并导致业务流量不通。

阿里云首页 云防火墙 相关技术圈