云防火墙开关常见问题
本文介绍云防火墙开关常见问题的解决方案。
互联网边界防火墙
VPC边界防火墙
NAT防火墙
为什么当前账号无法开启云防火墙?
使用阿里云账号登录云防火墙控制台,控制台界面上展示当前账号无法开启云防火墙。考虑如下两个原因:
当前账号为阿里云账号(主账号)且已被其他阿里云账号添加为成员账号进行统一管理。
当前账号为RAM用户(子账号)且未完成授权。
您可以将光标移至控制台界面右上角登录账号头像处,查看账号ID。
如果账号ID是以1开头的一串数字,表示该账号为阿里云账号(主账号)。请您使用统一管理该账号的阿里云账号登录云防火墙控制台,您登录成功后可以为该账号下的云资产开启防护。
如果账号ID是以2开头的一串数字,表示该账号为RAM用户(子账号)。您需要对该账号授予createSlr、AliyunYundunCloudFirewallReadOnlyAccess和AliyunYundunCloudFirewallFullAccess权限。
关于如何授权,请参见为RAM用户授权。其中,createSlr是自定义权限策略。具体的脚本如下,具体操作,请参见创建自定义权限策略。
{ "Statement": [ { "Action": [ "ram:CreateServiceLinkedRole" ], "Resource": "acs:ram:*:166032244439****:role/*", "Effect": "Deny", "Condition": { "StringEquals": { "ram:ServiceName": [ "cloudfw.aliyuncs.com" ] } } } ], "Version": "1" }说明Resource参数的格式为
acs:ram:*:阿里云账号(主账号)的UID:role/*。阿里云账号(主账号)的UID表示RAM用户(子账号)所属主账号的UID。
同时开启了互联网边界防火墙、NAT防火墙和DNS防火墙,出方向的流量如何匹配?
当ECS发起域名访问(出方向)时,首先发起DNS解析,DNS请求会经过DNS防火墙,匹配DNS防火墙访问控制策略;然后ECS发起的私网流量经过NAT防火墙,匹配NAT防火墙访问控制策略;然后流量经过NAT网关,由NAT网关将私网源IP转换成NAT公网IP;最后公网流量再经过互联网边界防火墙到互联网,匹配互联网边界防火墙访问控制策略。如果该过程流量未命中任何一个防火墙的拒绝策略,则该流量成功访问域名;如果该过程流量命中任何一个防火墙的拒绝策略时,流量会被拒绝,导致无法访问域名。
当公网访问ECS(入方向)时,流量只经过互联网边界防火墙,匹配互联网边界防火墙访问控制策略。
互联网边界防火墙的作用是什么?
对于未开启互联网边界防火墙的公网IP资产,网络流量不会经过互联网边界防火墙,只经过主机防火墙(即安全组),最终到达您的ECS实例。
对于开启了互联网边界防火墙的公网IP资产,流量经过边界防火墙检测和过滤后,再经过主机防火墙,最终到达您的ECS实例。如果仅开启互联网边界防火墙开关、未配置云防火墙的访问控制策略也未设置入侵防御策略,云防火墙将仅对该流量进行检测和告警、不会进行拦截。
互联网边界防火墙开关开启或关闭时网络流量路径如下图所示:
互联网边界防火墙是否支持保护IPv6资产?
支持。可以保护ECS IPv6公网资产,包括对ECS IPv6、SLB IPv6公网资产的访问控制、入侵防护、日志分析功能。关于互联网边界防火墙可以防护的云资产,请参见防护范围。
开启互联网边界防火墙开关是否会对网络流量产生影响?
购买了云防火墙,互联网边界防火墙开关默认全部开启。如果仅开启互联网边界防火墙开关、未配置云防火墙的访问控制策略也未设置入侵防御策略,云防火墙将仅对该流量进行检测和告警、不会进行拦截。
关闭互联网边界防火墙开关有什么影响?
关闭互联网边界防火墙开关可能会产生以下影响:
页面中,网络流量分析部分图表可能无数据。
如果配置了出方向或者入方向访问的控制策略,关闭互联网边界防火墙开关将会使该主机对应的访问控制策略失效,表现为该访问控制策略的命中次数保持不变。
所有流量将不会经过云防火墙,入侵防御功能将会失效。
页面中的流量日志页签,将不会显示防火墙开关关闭后的流量数据。
所有流量将不会经过云防火墙,网络抓包抓取不到开关关闭后的流量数据,页面中的网络抓包模块也不会展示对应IP的报文信息。详细内容,请参见网络抓包。
相关操作,请参见互联网边界防火墙。
为什么无法开启互联网边界防火墙开关?
云防火墙控制台互联网边界防火墙列表中,部分资产无法开启边界防火墙保护(开启保护开关不可操作,并提示由于SLB所在网络限制,该IP所在网络不支持开启防火墙保护)。
该SLB资产只有私网IP,不支持开启云防火墙保护,因此部分资产无法开启互联网边界防火墙。
对于资产只有私网SLB的情况,建议您采用私网SLB加EIP的方案,将流量牵引到云防火墙上进行防护。具体操作,请参见绑定和管理EIP。
互联网边界防火墙支持防护哪些公网IP类型?
云防火墙支持以下类型的公网IP引流,即可以对您以下类型的公网资产提供防护:
ENI EIP(支持绑定到专有网络类型的ECS实例、专有网络类型的私网SLB实例、弹性网卡和NAT网关上)
NatPublicIP(ECS系统分配的公网IP)
SLB EIP(绑定到专有网络SLB的EIP)
堡垒机
资产同步慢,单击同步资产后没显示公网资产?
云防火墙免费版只能看到EIP资产,不会同步ECS公网IP。
开启VPC边界防火墙开关是否对网络流量会产生影响?
开启VPC边界防火墙开关之前,需要评估以下限制:目前,开启或关闭VPC边界防火墙云企业网企业版不受影响,云企业网基础版会触发长连接重置。如果您的VPC内正在使用内网SLB,您在开启VPC边界防火墙前需要检查您的应用程序是否支持TCP自动重传机制,并关注应用连接状态,避免未配置重传机制导致的连接中断。
开启VPC边界防火墙后,ECS安全组规则是否会受到影响?
不会。开启VPC边界防火墙后会自动添加名称为Cloud_Firewall_Security_Group的安全组和放行策略,用于放行到VPC边界防火墙的流量。
开启VPC边界防火墙后自动创建的安全组仅对该VPC之间的流量进行管控,您原来已创建的ECS安全组规则仍然生效并不受影响。因此,无需您对ECS安全组规则做任何迁移或修改。
为云企业网创建VPC边界防火墙时,为什么提示未授权?
如果您的阿里云账号下的云企业网中,存在另一个账号开通的专有网络VPC,需要先授权云防火墙访问该VPC所属阿里云账号下的云资产。
针对此场景,如果您未完成对该VPC所属阿里云账号的授权,为该VPC创建VPC边界防火墙时,页面会提示存在未授权的网络实例,不允许创建。
CEN-TR基础版场景,已经开启VPC防火墙,为什么会多了一条动作为拒绝的路由策略?
假设开启VPC-test的防火墙后,VPC防火墙会创建一个名称Cloud_Firewall_VPC的VPC,并发布静态路由,目的是将其他未开墙VPC的流量引入到云防火墙。同时会在VPC-test内添加静态指向防火墙ENI,并创建一条拒绝的路由策略,使得VPC-test不再学习CEN发布的路由,VPC-test出方向的流量通过静态路由将流量引入到云防火墙。
请勿修改和删除路由策略和路由表,否则会影响云防火墙引流,并导致业务流量不通。
NAT防火墙1.0场景,云防火墙为什么会创建1个路由表,并下发0.0.0.0/0的静态路由?
开启NAT防火墙1.0后,会自动创建1个自定义路由表,并添加路由0.0.0.0/0指向NAT网关,同时系统路由表会修改路由将0.0.0.0/0指向防火墙ENI,目的是将NAT网关出方向的流量引流到云防火墙。
请勿修改和删除路由表,否则会影响云防火墙引流,并导致业务流量不通。