云防火墙(Cloud Firewall)是一款SaaS化防火墙,可为云上资产提供统一、高效且智能的安全防护。本指南面向首次使用者,介绍从服务开通、资产自动防护、安全策略配置到防护效果验证的完整流程,快速建立云环境中的首道网络安全防线。
步骤一:开通云防火墙按量版
访问云防火墙购买页,选择商品类型为按量付费2.0,并完成如下配置项。
配置项
说明
互联网资产自动接入防护
选择是,自动将所有公网资产接入防火墙,并为新增资产开启自动保护开关。后续可在控制台调整。
日志分析与日志分析存储容量
建议保持默认选项以存储访问日志。该配置支持对防护资产流量日志进行实时采集、查询、分析、加工及消费,满足等级保护合规要求。
服务关联角色
为了提供流量访问控制、监控分析等功能,云防火墙需要访问您的云服务资源,请单击创建服务关联角色,系统会自动创建角色AliyunServiceRoleForCloudFW,无需手动对此角色做任何修改。
仔细阅读并选中云防火墙(按量付费)服务协议,单击立即购买并完成支付。
步骤二:查看公网资产与防护状态
登录云防火墙控制台。在左侧导航栏,单击开关。
在互联网边界防火墙页签,可查看当前阿里云账号下的公网资产及其防护状态。由于在上一步购买时已启用互联网资产自动接入防护,所有公网资产默认处于保护中状态。
步骤三:查看入侵防御(IPS)能力
云防火墙默认启用的入侵防御系统(Intrusion Prevention System, IPS)可实时检测并主动阻断多种已知威胁,包括但不限于:网络攻击行为、漏洞利用尝试、暴力破解、蠕虫传播、挖矿活动、后门木马通信以及拒绝服务(DoS)攻击。
可以通过以下步骤,对IPS规则进行查看。
在左侧导航栏,选择。
系统默认启用基础防御与虚拟补丁功能,并采用拦截-中等威胁引擎运行模式,适用于日常安全防护场景。
步骤四:配置访问控制(ACL)策略
云防火墙支持为不同资产配置独立的访问控制策略,以分别管控其入站和出站流量,实现精细化访问控制。
默认情况下,云防火墙已配置如下动作为放行的策略,可以在左侧导航栏进行查看。
方向 | 访问源 | 目的 | 协议 | 端口 | 策略说明 |
出向 | 0.0.0.0/0 | 0.0.0.0/0 | ICMP | - | 允许云资产主动向外发送 ICMP 请求(如 |
出向 | 0.0.0.0/0 | 0.0.0.0/0 | UDP | 53 | 允许云资产发起 DNS 查询请求,用于解析域名(如访问网站、服务发现等)。 |
出向 | 0.0.0.0/0 | 0.0.0.0/0 | UDP | 123 | 允许云资产连接 NTP 服务器进行时间同步,确保系统时间准确。 |
入向 | 0.0.0.0/0 | 0.0.0.0/0 | ICMP | - | 允许外部网络对云资产执行 |
当前,多数网络攻击风险源自公网,因此需配置符合实际业务需求的安全策略。建议使用白名单的方式,设置一条最低优先级拒绝全部的兜底策略,并在其基础上配置具体的放行策略。
错误配置风险提示:以下策略配置仅作为通用安全参考,其中包含拒绝全部的策略,直接复制并应用于生产环境可能导致业务中断。若生产流量未在兜底策略前匹配到明确的“放行”规则,将被默认拦截。
配置建议:
顺序原则:严格遵循“先白名单,后兜底”。部署前,务必在拒绝策略上方优先添加生产业务必需的放行规则。
灰度验证:初始阶段将兜底策略动作设为观察,通过日志审计分析流量,逐步调整策略,仅放行业务所需的可信流量。经充分试运行验证后,再将动作调整为拒绝。
环境隔离:测试环境可全量开启兜底;生产环境若无法立即梳理全量白名单,请将兜底策略的源地址限定为测试IP段,避免误伤生产业务。
配置策略:前往页面,进行配置:
入方向(优先级从高到低):
访问源
目的
协议
应用
端口
动作
阿里可信IP
云资产公网IP
全部
ANY
全部
放行
云产品回源地址(如WAF、DDoS)
云资产公网IP
全部
ANY
全部
放行
可信远程连接运维人员或堡垒机地址
云资产公网IP
TCP
RDP、SSH
3389、22
放行
可信运维人员地址
云资产公网IP
ICMP
ANY
-
放行
全部
对外提供Web服务的云资产公网IP
TCP
HTTPS
443
放行
全部
对外提供API服务的云资产公网IP
TCP
HTTP
相应API端口
放行
全部
全部
全部
全部
全部
拒绝
出方向(优先级从高到低):
访问源
目的
协议
应用
端口
动作
全部
阿里可信IP、阿里可信域名
全部
ANY
全部
放行
全部
软件仓库、证书服务
全部
ANY
全部
放行
全部
微软、谷歌、Windows等可信域名
TCP
HTTPS、HTTP
全部
放行
全部
全部
UDP
ANY
53、123
放行
全部
全部
ICMP
ANY
-
放行
全部
全部
全部
全部
全部
拒绝
调整ACL引擎模式:默认模式下,云防火墙将放行无法识别的应用或域名流量,以防止策略配置初期的误拦截。待策略确认无误后,请单击右上角ACL引擎管理,将目标资产的ACL引擎模式切换为严格模式。
验证测试:策略配置完成并等待3-5分钟后,可通过
ping或curl等命令测试,然后刷新云防火墙控制台,单击命中次数/最近命中时间列的数字,前往日志审计页面查看命中日志。
您已完成本快速入门教程的全部步骤,请根据实际需求选择后续操作:
进阶优化
使用地址簿提高管理效率
当访问控制策略变得复杂时,使用地址簿能够极大地简化管理。可以将业务相关的IP地址(如办公室出口IP、可信的合作伙伴IP等)预先定义为地址簿,然后在策略中直接引用。
进入页面。
单击云服务IP地址簿页签,查看阿里云提供的地址簿。
单击自定义IP地址簿页签,然后单击新建地址簿,将业务中常用的一组IP地址定义成一个集合。更多信息,请参见地址簿管理。
IPS配置
默认的拦截-中等 模式适用于大部分场景。但在如下场景中,需要调整IPS配置:
高风险防护场景(如频繁遭受攻击、重保或护网期间):
将可信IP加入防护白名单;
将威胁引擎运行模式调整为拦截-严格;
开启威胁情报功能。
误拦截率较高:
将可信IP加入防护白名单;
将威胁引擎运行模式调整为拦截-宽松;
若问题依旧存在,请将其调整为观察模式。
开通VPC边界防火墙控制私网间流量
已使用多个VPC或云企业网打通云下资产时,可开通VPC边界防火墙概述,检测和管控通过云企业网的转发路由器、高速通道打通的专有网络VPC之间、VPC和本地数据中心之间的东西向流量,实现内网访问流量安全。
采用预付费模式降低成本
释放资源停止计费
完成快速入门教程后,若您不再需要在教程中开通的云防火墙,可以在总览页面右上角,选择。
