本文介紹使用云防火墻前的常見問題解決方案。
功能特性相關
按量付費版相關
防護范圍相關
與其他云產品的關系
為什么使用云防火墻需要授予服務關聯角色(AliyunServiceRoleForCloudFW)?
您授權云防火墻訪問當前阿里云賬號下的云資產,例如云服務器ECS(Elastic Compute Service)實例列表、專有網絡VPC(Virtual Private Cloud)實例列表、負載均衡SLB(Server Load Balancer)實例列表等,才能在云防火墻控制臺看到云資產的流量請求和響應情況,以及云資產之間的私網業務訪問情況,并根據這些數據的分析結果配置訪問控制策略。
您只有使用阿里云賬號或擁有管理訪問控制權限(AliyunRAMFullAccess)的RAM用戶身份,才能授權云防火墻訪問云資源。關于授權的具體操作,請參見授權云防火墻訪問云資源。
如何關閉云防火墻按量版?
登錄云防火墻控制臺。在總覽頁面右上角,單擊自助釋放。具體信息,請參見釋放實例。
為什么關閉云防火墻按量付費版后還在扣費?
云防火墻按量付費版以天為單位計費,次日統計前一天的費用并從賬戶中扣除相應費用。即當日關閉的云防火墻按量版,次日還會推送一次賬單。具體信息,請參見按量付費。
如何查看云防火墻按量付費流量使用明細?
登錄云防火墻控制臺。在 頁面,查看按量付費流量使用明細。具體操作,請參見查看流量使用明細。
云防火墻按量付費版怎么收費?
云防火墻按量付費版按照實際用量結算,最小粒度為小時,次日統計前一天的費用并從賬戶中扣除相應費用。云防火墻按量付費版的費用計算公式:每日賬單費用=每日產生的公網IP配置費+每日產生的流量處理費。具體信息,請參見按量付費。
如果您購買了按量節省套餐包,會按照購買的折扣進行抵扣。具體內容,請參見按量節省套餐包。
如何將云防火墻包年包月版轉按量付費版,有什么影響?
您可以根據業務需要,將云防火墻的計費模式由包年包月模式平滑轉換為按量付費。
具體操作和釋放包年包月版的注意事項,請參見包年包月版轉按量版。
如何將云防火墻按量付費版轉包年包月版,有什么影響?
您可以根據業務需要,將云防火墻的計費模式由按量付費平滑轉換為包年包月模式。具體操作和注意事項,請參見升級和降配。
什么是云防火墻按量節省套餐,如何使用?
按量節省套餐包是云防火墻推出的一種折扣權益計劃,您可以通過承諾在一定期限內消費一定的金額,來換取較低的按量付費折扣。您的承諾消費金額越大,享受的折扣越大,可節省更多成本。具體信息和操作步驟,請參見按量節省套餐包。
云防火墻按量版和包年包月版有什么區別?
云防火墻是否支持防護L2 EIP?
支持。云防火墻支持防護的資產范圍,請參見什么是云防火墻。
云防火墻是否支持防護經典網絡?
僅支持經典網絡中存在公網IP的ECS實例和部分SLB。主機邊界防火墻支持防護VPC間的流量,不支持防護經典網絡。
云防火墻是否支持對公網SLB的訪問?
阿里云提供公網和私網兩種類型的負載均衡(SLB)服務。由于歷史網絡架構的原因,部分公網SLB不支持云防火墻引流,推薦您采用私網SLB加EIP的方案,將流量牽引到云防火墻上進行防護。
采用云防火墻后,數據從云防火墻流入DNAT(EIP),再流入私網SLB。
云防火墻是否支持對高速通道(專線VBR)和云企業網的訪問控制?
支持。具體說明如下:
高速通道場景下,目前只支持同地域VPC和VPC互訪的防護,不支持VPC和VBR互訪的防護。
云企業網場景下,支持VPC和VPC、VPC和VBR之間互訪的防護。
如果需要云防火墻防護跨地域的VPC間互訪或者VPC和VBR互訪的流量,您需要將高速通道對等連接的專有網絡VPC(Virtual Private Cloud)平滑遷移至云企業網。相關內容請參見已使用對等連接的VPC遷移至云企業網。
云防火墻是否有抗APT攻擊的能力?
有。云防火墻內置的威脅情報功能具備防范APT攻擊的能力。
互聯網邊界防火墻是否支持防護訪問公網VPN的流量?
不支持。如果您從互聯網訪問公網VPN,該流量會被VPN加密,互聯網邊界防火墻無法對加密流量進行檢測防護。
VPC邊界防火墻是否支持防護通過IPsec-VPN訪問VPC的流量?
首先需要明確您的網絡部署情況,VPC邊界防火墻是否支持防護分以下三種情況:
第一種:如果您的網絡中IPsec-VPN通過綁定云企業網轉發路由器的方式部署,將IPsec-VPN與業務VPC的網絡打通。這種情況下VPC邊界防火墻支持防護。
例如網絡部署如下,VPC邊界防火墻支持防護企業辦公網與業務VPC之間的流量。
第二種:如果您的網絡中IPsec-VPN通過綁定VPN網關的方式部署在業務VPC內,且業務中存在跨VPC訪問的流量(CEN、VPC對等連接)。這種情況下,云防火墻支持防護跨業務VPC訪問的流量。
例如網絡部署如下,VPC邊界防火墻不支持防護企業辦公網到IPsec-VPN所在VPC之間的流量,但是支持企業辦公網與其他業務VPC(與IPsec-VPN所在VPC網絡打通的其他VPC)之間的流量。
如果您的業務必須防護通過IPsec-VPN訪問其他業務VPC的流量,可以對網絡進行改造,將IPsec-VPN部署到一個單獨的VPC上,這樣云防火墻就可以防護IPsec-VPN所在VPC到其他業務VPC的流量。
第三種:如果您的網絡中IPsec-VPN通過綁定VPN網關的方式部署在業務VPC內,業務中不存在跨VPC訪問的流量。這種情況下VPC邊界防火墻不支持防護。
例如網絡部署如下,VPC邊界防火墻不支持防護企業辦公網與業務VPC之間的流量。
哪些流量會占用云防火墻的防護帶寬?
云防火墻的防護帶寬包含公網流量處理能力、VPC流量處理能力、NAT私網流量處理能力。具體信息,請參見云防火墻購買頁。
云防火墻在阿里云網絡中的位置是什么?
下圖展示了部分阿里云產品(包括云防火墻)的邏輯關系。
同時使用DDoS、WAF、云防火墻,業務流量如何走向?
同時使用了DDoS、WAF(CNAME接入)、云防火墻,則業務的流量走向為:
DDoS->WAF->云防火墻->后臺服務
同時使用了DDoS、WAF(云產品接入)、云防火墻,則業務的流量走向為:
DDoS->云防火墻->WAF->后臺服務
金融云基礎版云防火墻與其他版本有哪些差異?
當您有如下需求時,可以將金融云基礎版云防火墻升級到云防火墻的公有云高級版、企業版、旗艦版:
期望了解云上業務對外開放了哪些公網IP和端口,應用開放的IP和端口有什么風險。
有等保需求,需要保持6個月以上的日志。
有基于域名的訪問控制需求,期望對失陷主機的主動外聯進行控制,控制只允許對外訪問某些域名和IP。
有FTP、MQTT動態端口協議的應用,需要基于應用進行訪問控制。
除了杭州金融云,還有其他地域的資源需要通過云防火墻防護。
關于云防火墻版本升級的方法,請參見升級和降配。
不同的版本支持的功能不同,您可以單擊某個版本,在版本描述下查看當前版本的功能說明。更多信息,請參見功能特性。
您可以參考以下表格,對比金融云基礎版云防火墻與其他商業化版本差異點。
其中
支持的功能 | 描述 | 金融云基礎版 | 高級版 | 企業版 | 旗艦版 |
防火墻 | 基于IP+端口的訪問控制 | ||||
基于應用的訪問控制 | |||||
基于域名的訪問控制 | |||||
主動外聯活動檢測 | |||||
入侵檢測 | IPS基礎檢測 | ||||
虛擬補丁 | |||||
威脅情報 | |||||
網絡活動 | 互聯網訪問活動分析 | ||||
主動外聯活動 | |||||
入侵檢測活動 | |||||
IPS阻斷分析 | |||||
全量活動搜索 | |||||
日志 | 支持安全日志、流量日志和操作日志,存儲6個月 | ||||
業務可視 | 安全組可視 | ||||
自定義分組 | |||||
應用分組可視 | |||||
支持的地域 | 支持區域 | 僅杭州地域 | 請參見支持的地域 | 請參見支持的地域 | 請參見支持的地域 |
性能 公有云版本可擴展的規格詳情,請參見包年包月。 | 防火墻支持防護的公網IP數量 | 默認20個,可擴展 | 默認50個,可擴展 | 默認400個,可擴展 | |
公網流量處理能力(公網方向可防護的流量峰值,入向出向取其高) | 默認10 Mbps,可擴展 | 默認50 Mbps,可擴展 | 默認200 Mbps,可擴展 | ||
可防護的VPC邊界防火墻數 | 默認2個,可擴展 | 默認5個,可擴展 | |||
VPC流量處理能力(可防護的VPC間的總流量峰值) | 默認200 Mbps,可擴展 | 默認1,000 Mbps,可擴展 | |||
可防護的NAT防火墻數 | 默認0個,可擴展 | 默認1個,可擴展 | 默認2個,可擴展 | ||
NAT私網流量處理能力 | 默認0 Mbps,可擴展 | 默認10 Mbps,可擴展 | 默認20 Mbps,可擴展 | ||
支持最大策略數 | 1000 | 互聯網邊界防火墻策略授權規格:默認4,000個,可擴展 |
|
|
云防火墻最多支持幾個跨賬號部署?
云防火墻高級版、企業版、旗艦版支持統一賬號管理功能(即跨賬號部署)。關于各版本支持的管控數,請參見計費說明。如果您需要添加更多的成員賬號,需要升級云防火墻規格,擴充多賬號管控數。具體操作,請參見升級和降配。
云防火墻支持公網SLB主要覆蓋哪些防護場景?
云防火墻現已全面支持新一代公網SLB架構,提供全面的云端公網SLB防護。如果您已購買阿里云防火墻產品,可登錄云防火墻控制臺開啟防護開關,提升整體網絡安全能力。此外,云防火墻為公網SLB架構的互聯網訪問提供入侵防御和訪問控制:
入侵防御(IPS):提供快速部署的虛擬補丁,防護0-day和其他突發高風險漏洞,無需重啟或安裝補丁即可阻止漏洞遭到黑客攻擊。
訪問控制:實施細致的互聯網訪問管控,支持HTTP和HTTPS等應用,同時提供特定IP、端口和協議的限制,特別是TCP業務的訪問控制,并能限定訪問源區域,如只允許來自特定地區的訪問,確保業務運行更加可靠和安全。
相比客戶自建防火墻,阿里云云防火墻有哪些優勢?
阿里云云防火墻提供了一個易于操作且即開即用的解決方案,它能統一管理南北向和東西向的網絡流量,全方位確保云上網絡的安全。相比于自建防火墻,阿里云云防火墻有以下優勢:
托管服務:自建防火墻設備授權根據VPC數量增加,通過路由方式進行配置和設備同步,增加更多網絡側故障點的同時,帶來了更復雜的安全控制與管理開銷。云防火墻由阿里云托管提供,無需部署任何設備。通過在控制臺簡單的設置,秒級接入,有效降低網絡安全管控運維成本。
高可用和彈性擴展:自建防火墻高可用與性能強依賴于虛擬設備,云防火墻采用了集群部署的模式,支持性能的平滑擴展,無需關注高可用、擴容或接入等問題。通過雙可用區部署,任意一臺服務器或者任意一個AZ故障時都不會導致云防火墻故障。
云服務深度集成:云防火墻原生整合阿里云各類網絡服務(如VPC、CEN、EIP、SLB等),通過在網絡層面控制對云資產的訪問,聯動終端安全能力,解決對云資產的異常訪問問題。
入侵防御和威脅情報:云防火墻內置威脅檢測引擎,可同步更新全網威脅情報,對超過500萬的活躍惡意IP與域名條目進行監控,實現對來自互聯網的威脅進行實時檢測和阻斷。
云防火墻互聯網邊界核心防御功能有哪些?
互聯網邊界防火墻檢測互聯網和云上公網IP資產間的通信流量。開通云防火墻服務后,可以為您提供以下防御功能:
盤點資產:云防火墻互聯網分析資產入向和出向正常流量和異常流量,包括開放應用、開放端口、開放公網IP地址和流量訪問的云產品信息。
防護入侵:云防火墻內置了威脅檢測引擎,可對互聯網上的惡意流量入侵活動和常規攻擊行為進行實時檢測和攔截,結合威脅情報,智能阻斷入侵風險。
封禁域名:網絡資產開啟云防火墻開關后,主動外聯實時分析主機的主動外聯數據,及時發現可疑主機。通過基于域名或IP的訪問控制,實現對公網訪問的封禁。
抵擋漏洞:對于可被遠程利用的高危漏洞,云防火墻提供了虛擬補丁的能力,幫助客戶在無法安裝補丁或重啟系統的情況下,實現對漏洞的自動化防御。
如何通過Web應用防火墻和云防火墻,有效管理互聯網暴露面?
狹義的互聯網暴露面是暴露在互聯網的已知或未知資產,包括但不限于IP、端口、域名、應用、API接口等,企業接入網絡的資產數量快速增長,互聯網暴露面的風險增加,而互聯網暴露面越多越大,企業面臨的威脅就越大,有效管理互聯網暴露面是安全運營和管理工作的基本要求。
業務應用資產的管理:各類業務系統平臺逐年增多,可能存在員工自建站點,測試環境或API未及時回收等情況。這些資產可能使用了低版本的開源系統、組件、Web框架,開放了超過業務需求的訪問權限,攻擊者可以利用這些資產作為“跳板”繞過企業的網絡邊界防護。Web應用防火墻資產識別通過獲取阿里云證書、云解析、Web應用防火墻、萬網等產品的配置信息,結合大數據關聯分析能力,提供全局資產視角,避免在安全防護中出現資產疏漏,提高整體安全防護水位線。
網絡資產的管理:企業業務的高速發展,云上IP數量逐年增多。由于疏于管理,這些IP可能開放了超過業務需求的端口和服務。云防火墻幫助檢測互聯網和云上公網IP資產間的通信流量,關閉不必要的IP、端口暴露,通過配置訪問控制策略,對互聯網訪問進行精細化的訪問控制。
為什么使用CEN-TR的客戶,有著相對更強的云防火墻需求?
隨著越來越多的業務上云,企業云上網絡可能規劃多個跨地域的VPC,通過云企業網 CEN(Cloud Enterprise Network)幫助用戶構建一張高性能、低延遲的跨地域多個VPC以及云上VPC與線下IDC互聯的高可用網絡,實現多樣化的組網和管理需求。
所以企業版轉發路由器(CEN-TR)的客戶大會存在如下需求:
多業務跨VPC、混合云的網絡管控需求:由于不同VPC的業務等級和安全等級不同,但是業務互訪需要將多VPC有條件的聯通,從網絡殺傷鏈攻擊者橫向滲透的角度,企業需要合理規劃和設計云上跨VPC以及云上VPC和云下IDC的網絡訪問控制和防護策略。跨VPC網絡安全管理、云上VPC到云下IDC邊界管控的復雜度與企業VPC數量、上云業務規模等有著很大的關聯。CEN-TR擴大了支持的VPC數量,云上東西向網絡管理復雜度提升,客戶對云上高效的東西向精細化管控需求更強。
合規需求:大型企業級客戶上云,大多面臨等保、ISO27001等合規需求,對網絡安全訪問控制策略提出了要求,例如,等保云計算安全擴展提到應在不同等級的網絡區域邊界部署訪問控制機制,實現基于會話和應用的訪問控制,這些要求需要云防火墻企業版的東西向網絡管控/防護能力。