容器防火墙是云安全中心为容器环境提供的防火墙服务。当黑客利用漏洞或恶意镜像入侵容器集群时,容器防火墙会对容器的异常行为进行告警或拦截。

版本限制

仅云安全中心的旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配

容器防火墙原理

容器防火墙通过将容器中应用的命名空间、应用名称、镜像以及标签等信息整合为网络对象,作为区别容器应用的标签信息。然后基于容器应用的网络对象,为容器应用创建网络访问的拦截规则,检测和拦截异常访问流量。

说明

如果集群的可拦截状态为异常,是无法成功开启集群防御状态的,防御规则也不会生效。您需要及时处理集群的异常状态,详细内容,请参见集群防御规则可拦截状态异常排查

image

支持的操作系统版本

集群防御规则的正常运行依赖于恶意网络行为防御的AliNet插件(AliNet插件主要用于网络连接拦截、DNS拦截、暴力破解拦截等),使用容器防火墙功能前,请确保您的集群节点的系统内核版本在AliNet插件支持的部分系统内核版本范围内。如果集群节点的系统内核版本不在AliNet插件支持的部分系统内核版本范围内,会导致集群防御规则无法生效。容器防火墙功能支持的系统内核版本如下:

操作系统类型

内核版本号

CentOS

3.10.0系列

  • 3.10.0-123.9.3.el7.x86_64

  • 3.10.0-229.el7.x86_64

  • 3.10.0-229.14.1.el7.x86_64

  • 3.10.0-327.el7.x86_64

  • 3.10.0-327.10.1.el7.x86_64

  • 3.10.0-327.13.1.el7.x86_64

  • 3.10.0-327.18.2.el7.x86_64

  • 3.10.0-327.22.2.el7.x86_64

  • 3.10.0-327.36.3.el7.x86_64

  • 3.10.0-514.el7.x86_64

  • 3.10.0-514.2.2.el7.x86_64

  • 3.10.0-514.6.1.el7.x86_64

  • 3.10.0-514.6.2.el7.x86_64

  • 3.10.0-514.10.2.el7.x86_64

  • 3.10.0-514.16.1.el7.x86_64

  • 3.10.0-514.21.1.el7.x86_64

  • 3.10.0-514.21.2.el7.x86_64

  • 3.10.0-514.26.2.el7.x86_64

  • 3.10.0-693.el7.x86_64

  • 3.10.0-693.2.2.el7.x86_64

  • 3.10.0-693.5.2.el7.x86_64

  • 3.10.0-693.11.1.el7.x86_64

  • 3.10.0-693.11.6.el7.x86_64

  • 3.10.0-693.17.1.el7.x86_64

  • 3.10.0-693.21.1.el7.x86_64

  • 3.10.0-862.el7.x86_64

  • 3.10.0-862.2.3.el7.x86_64

  • 3.10.0-862.3.2.el7.x86_64

  • 3.10.0-862.3.3.el7.x86_64

  • 3.10.0-862.6.3.el7.x86_64

  • 3.10.0-862.9.1.el7.x86_64

  • 3.10.0-862.11.6.el7.x86_64

  • 3.10.0-862.14.4.el7.x86_64

  • 3.10.0-957.el7.x86_64

  • 3.10.0-957.1.3.el7.x86_64

  • 3.10.0-957.5.1.el7.x86_64

  • 3.10.0-957.10.1.el7.x86_64

  • 3.10.0-957.12.1.el7.x86_64

  • 3.10.0-957.12.2.el7.x86_64

  • 3.10.0-957.21.2.el7.x86_64

  • 3.10.0-957.21.3.el7.x86_64

  • 3.10.0-957.27.2.el7.x86_64

  • 3.10.0-1062.el7.x86_64

  • 3.10.0-1062.1.1.el7.x86_64

  • 3.10.0-1062.1.2.el7.x86_64

  • 3.10.0-1062.4.1.el7.x86_64

  • 3.10.0-1062.4.2.el7.x86_64

  • 3.10.0-1062.4.3.el7.x86_64

  • 3.10.0-1062.7.1.el7.x86_64

  • 3.10.0-1062.9.1.el7.x86_64

  • 3.10.0-1062.12.1.el7.x86_64

  • 3.10.0-1062.18.1.el7.x86_64

  • 3.10.0-1127.el7.x86_64

  • 3.10.0-1127.8.2.el7.x86_64

  • 3.10.0-1127.10.1.el7.x86_64

  • 3.10.0-1127.13.1.el7.x86_64

  • 3.10.0-1127.18.2.el7.x86_64

  • 3.10.0-1127.19.1.el7.x86_64

  • 3.10.0-1160.el7.x86_64

  • 3.10.0-1160.2.2.el7.x86_64

  • 3.10.0-1160.6.1.el7.x86_64

  • 3.10.0-1160.11.1.el7.x86_64

  • 3.10.0-1160.15.2.el7.x86_64

  • 3.10.0-1160.21.1.el7.x86_64

  • 3.10.0-1160.24.1.el7.x86_64

  • 3.10.0-1160.25.1.el7.x86_64

  • 3.10.0-1160.31.1.el7.x86_64

  • 3.10.0-1160.36.2.el7.x86_64

  • 3.10.0-1160.41.1.el7.x86_64

  • 3.10.0-1160.42.2.el7.x86_64

  • 3.10.0-1160.45.1.el7.x86_64

  • 3.10.0-1160.49.1.el7.x86_64

  • 3.10.0-1160.53.1.el7.x86_64

  • 3.10.0-1160.59.1.el7.x86_64

  • 3.10.0-1160.62.1.el7.x86_64

  • 3.10.0-1160.66.1.el7.x86_64

  • 3.10.0-1160.71.1.el7.x86_64

  • 3.10.0-1160.76.1.el7.x86_64

  • 3.10.0-1160.80.1.el7.x86_64

  • 3.10.0-1160.81.1.el7.x86_64

  • 3.10.0-1160.83.1.el7.x86_64

  • 3.10.0-1160.88.1.el7.x86_64

4.19.X系列

  • 4.19.12-1.el7.elrepo.x86_64

  • 4.19.94-300.el7.x86_64

  • 4.19.104-300.el7.x86_64

  • 4.19.113-300.el7.x86_64

Alibaba Cloud Linux(64位)

3.10.0系列

  • 3.10.0-957.27.2.al7.1.x86_64

  • 3.10.0-1062.12.1.al7.1.x86_64

  • 3.10.0-1062.4.1.al7.1.x86_64

  • 3.10.0-1160.al7.1.x86_64

  • 3.10.0-1127.8.2.al7.1.x86_64

  • 3.10.0-1127.13.1.al7.1.x86_64

  • 3.10.0-1127.19.1.al7.1.x86_64

4.19.X系列

  • 4.19.24-7.al7.x86_64

  • 4.19.24-7.14.al7.x86_64

  • 4.19.43-13.2.al7.x86_64

  • 4.19.57-15.1.al7.x86_64

  • 4.19.81-17.al7.x86_64

  • 4.19.81-17.2.al7.x86_64

  • 4.19.91-18.al7.x86_64

  • 4.19.91-19.1.al7.x86_64

  • 4.19.91-19.2.al7.x86_64

  • 4.19.91-21.al7.x86_64

  • 4.19.91-21.2.al7.x86_64

  • 4.19.91-22.al7.x86_64

  • 4.19.91-22.2.al7.x86_64

  • 4.19.91-23.al7.x86_64

  • 4.19.91-23.1.al7.x86_64

  • 4.19.91-24.al7.x86_64

  • 4.19.91-24.1.al7.x86_64

  • 4.19.91-25.al7.x86_64

  • 4.19.91-25.1.al7.x86_64

  • 4.19.91-25.3.al7.x86_64

  • 4.19.91-25.6.al7.x86_64

  • 4.19.91-25.7.al7.x86_64

  • 4.19.91-25.8.al7.x86_64

  • 4.19.91-26.al7.x86_64

  • 4.19.91-26.1.al7.x86_64

  • 4.19.91-26.2.al7.x86_64

  • 4.19.91-26.3.al7.x86_64

  • 4.19.91-26.4.al7.x86_64

  • 4.19.91-26.5.al7.x86_64

  • 4.19.91-26.6.al7.x86_64

  • 4.19.91-27.al7.x86_64

  • 4.19.91-27.1.al7.x86_64

使用流程

容器防火墙的配置和使用如下:

  1. 新增网络对象:新增源网络对象和目的网络对象。

  2. 创建防御规则:创建并开启防御规则。

  3. 防御状态与规则管理:开启集群防御。

  4. 查看防护状态:查看触发防御规则产生的告警事件。