本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
您可以使用互联网边界防火墙,精细化管控业务公网资产出入互联网的访问流量,减少公网资产在互联网的暴露面,降低业务流量的安全风险。开通互联网边界防火墙时,您无需更改当前网络拓扑,可以将资源一键秒级接入保护,快速实现对互联网出入流量的可视化分析、攻击防护、访问控制、日志审计等。
功能介绍
防护原理
公网资产(包括IPv4和IPv6)开启互联网边界防火墙后,云防火墙会基于DPI流量分析、IPS入侵防御规则、威胁情报、虚拟补丁、访问控制策略等,对出向和入向流量进行过滤,判断流量是否满足放行条件,有效拦截非法的访问流量,保障公网资产与互联网之间的流量安全。
防护的公网资产范围(出向+入向):如ECS、EIP(含L2 EIP)、负载均衡类资产、堡垒机、NAT、HaVip、GA EIP等IPv4和IPv6资产。
互联网边界防火墙的防护场景示例如下图所示:
对业务的影响
创建、开启及关闭互联网边界防火墙时,您无需更改当前的网络拓扑,可以将资源一键秒级接入保护或关闭保护,对业务无影响。建议您在业务低峰期开启互联网边界防火墙。
防护规格
自2025年10月15日起,云防火墙发布计费方式2.0。新购用户默认采用计费方式2.0,此前已购买的用户继续使用计费方式1.0,不同的计费方式下,互联网边界防火墙的防护规格不同。
计费方式2.0
防护规格 | 说明 | 云防火墙包年包月版(高级版、企业版、旗舰版) | 云防火墙按量版 |
防火墙实例数 | 可防护的地域数量,每个防护的地域对应一个互联网边界防火墙实例。 | 取决于购买的实例数与带宽,不同版本提供的实例数与带宽,请参见包年包月2.0。若配额不足,可以升级规格。具体操作,请参见查看资产的防护情况。 | 根据实际防火墙实例数和处理的总流量计费。 支持处理的峰值带宽最高为10Gbps,如需要定制更大规格,请联系商务经理或架构师。详细计费内容,请参见按量付费2.0。 |
公网流量处理能力 | 防火墙处理的互联网总流量峰值,计费标准为互联网出向与入向流量带宽之和。 |
计费方式1.0
防护规格 | 说明 | 云防火墙包年包月版(高级版、企业版、旗舰版) | 云防火墙按量版 |
可防护公网IP数 | 可开启互联网边界防火墙开关的公网IP数量。 | 取决于您购买的可防护公网IP数量和可处理的总流量峰值。如果配额不足,您可以升级规格。 不同云防火墙版本拥有不同的公网IP配额限制,具体内容,请参见包年包月1.0。 说明 如果您的业务流量超过已购云防火墙流量处理规格,则不能保证产品SLA,可能触发包括但不限于安全能力失效(ACL、IPS、日志审计)、TOP超量资产关闭防火墙、限速丢包等超量降级规则。 若您的业务流量可能有超量风险,建议参考包年包月弹性流量后付费。 | 根据实际开启防护的公网IP数和处理的总流量峰值计费,不存在配额限制。详细计费内容,请参见按量付费1.0。 |
公网流量处理能力 | 处理的互联网总流量峰值,计费标准为互联网出向或入向流量带宽取最高值。 |
查看资产的防护情况
开启防火墙开关
一键开启资产保护
如果没有开启新增资产自动保护,您可以手动为公网资产开启互联网边界保护。
登录云防火墙控制台。
在左侧导航栏,单击防火墙开关。
在互联网边界防火墙页签,单击IPv4或IPv6页签,手动开启公网资产保护。
如果在公网资产列表中没有需要开启保护的资产,您可以在公网资产列表右上角单击同步资产,同步当前阿里云账号及其成员账号的资产信息。资产同步预计需要1~2分钟。
单个开启保护
在公网资产列表中找到需要开启保护的公网资产,在操作列单击开启保护。
批量开启保护
在公网资产列表中选中多个需要开启保护的公网资产,在列表下方单击开启保护。
您也可以在数据统计区域单击开启保护,根据公网IP、地域和资产类型维度,一键开启所有公网资产的互联网边界保护。
开启新增资产自动保护
开启新增资产自动保护后,当前阿里云账号及其成员账号下如果有新增的公网资产,云防火墙将自动开启新增资产的互联网边界保护。
登录云防火墙控制台。
在左侧导航栏,单击防火墙开关。
在互联网边界防火墙页签,单击新增资产自动保护并选择需要应用的公网资产。
后续步骤
创建互联网边界防火墙后,您可以为互联网边界防火墙设置访问控制策略、查看公网资产访问日志等,以便您更好地管控公网资产和互联网之间的流量访问。
配置访问控制策略
如果您未配置任何访问控制策略,云防火墙默认放行流量。您可以创建互联网边界访问控制策略,精细化管控公网资产访问互联网的流量。
在页面,定位到目标互联网边界防火墙的操作列,单击配置策略,选择配置该公网资产的出向或者入向访问控制策略。具体操作,请参见配置互联网边界访问控制策略。
查询审计日志
在页面的页签,设置筛选条件,查看公网资产和互联网的访问日志。更多信息,请参见日志审计。
查看流量分析
查看攻击防护数据
在页面,定位到目标互联网边界防火墙的操作列,单击查看攻击,选择查看公网资产出向或者入向的攻击防护数据。具体信息,请参见入侵防御。
查看公网流量处理情况
在左侧导航栏,单击总览,然后在总览页面的资产防护情况区域,查看防火墙实例数、已购流量与近期带宽峰值。
更多操作
下发安全组默认放通策略
互联网边界防火墙防护的是互联网方向的流量方向,因此您需要确认防护的公网资产已放行互联网方向的流量,具体信息,请参考公网资产对应的官网文档。
防护ECS资产(包括ECS公网IP和ECS EIP)时,您可以在云防火墙控制台一键下发互联网方向的默认放行策略,方便您通过云防火墙统一管理规则,无需前往ECS管理控制台修改安全组的配置。
功能原理
云防火墙通过给ECS资产关联的安全组下发4个优先级最低(优先级为100)的规则,放行ECS资产在互联网方向的访问。
对于相同优先级的规则,ECS安全组会优先匹配拒绝规则。因此,如果您原来配置了优先级为100的拒绝规则,云防火墙下发的放行策略不会使您之前配置的拒绝规则失效。
注意事项
一键下发的安全组默认放通策略,会对关联到该安全组的所有资源生效,在下发前,建议为安全组关联的所有资源开启云防火墙保护,并且合理配置互联网边界的入方向访问控制策略,否则会存在公网暴露的风险。
对于未开启云防火墙开关的资源,不建议下发默认放通策略;对于已放通的资源,不建议关闭云防火墙的防护开关。
云防火墙服务到期后,通过云防火墙自动新增的4个放通策略还会保留在安全组中,并处于生效状态。如果您不再使用云防火墙服务,建议您手动删除云防火墙下发的4条默认放通策略。具体操作,请参见删除安全组规则。
使用限制
下发安全组默认放通策略功能只支持ECS公网IP和ECS EIP的入方向规则。
企业级安全组不支持下发安全组默认放通策略。
下发放通策略
登录云防火墙控制台。
在左侧导航栏,单击防火墙开关。
在互联网边界防火墙页签,单击IPv4或IPv6页签。
在公网资产列表找到需要放通默认策略的ECS资产,在安全组默认放行策略列单击下发。
(可选)如果当前安全组中的规则与待下发的规则冲突,您需要先完成策略调整。
在安全组对应的操作列,单击一键下发,查看待下发的4个放通策略,然后单击确定。
如果ECS关联了多个安全组,您可以分别为所有关联的安全组下发放通策略,该ECS的默认放通策略才会生效。
安全组放通配置完成后,您可以在页面查看安全组默认放通策略的下发状态,确定策略是否已成功下发,及时排查未成功下发的问题。
安全组策略下发状态包含:
已下发:ECS资产关联的所有安全组均已下发了默认放通策略;
未下发:ECS资产关联的全部安全组或部分安全组还未下发默认放通策略,或者存在配置冲突。
-:该资产类型不支持一键下发默认放通策略。
下载公网资产列表
您可以将公网资产列表的资产信息以CSV文件形式下载到本地。
登录云防火墙控制台。
在左侧导航栏,单击防火墙开关。
在互联网边界防火墙页签,单击IPv4或IPv6页签。
在公网资产列表右上角,单击
图标。在互联网边界防火墙页签的右上角,单击下载任务管理,查看任务下载进展。任务下载完成后,在操作列,单击下载。