本文介紹使用云防火墻訪問控制策略管控業務流量時可能遇到的問題及其解決方案。
功能特性類問題
操作類問題
訪問控制策略授權規格是否支持擴展?
VPC間的防護流量是否支持擴展?
支持。
如果已購買的VPC防護流量無法滿足您的業務需求,您可以通過購買VPC流量處理能力進行擴展。
企業版:基礎價格默認包含200 Mbps,可擴容范圍為200~10,000 Mbps。。
旗艦版:基礎價格默認包含1,000 Mbps,可擴容范圍為1,000~15,000 Mbps。。
云防火墻是否支持封禁IPv6地址段?
云防火墻包年包月版(高級版、企業版、旗艦版)的互聯網邊界訪問控制策略,支持針對IPv6地址段的流量進行管控,具體操作,請參見配置互聯網邊界訪問控制策略。
云防火墻按量版暫不支持針對IPv6地址段的流量管控。
DNS防火墻與訪問控制互聯網邊界防火墻的出方向策略,有什么區別?
區別如下:
策略類型 | DNS邊界訪問控制策略 | 互聯網邊界訪問控制策略 |
管控范圍 | 僅用于管控內網服務器的DNS流量。 | 用于管控公網資產IP訪問互聯網指定的域名、IP地址或區域。 |
支持的地域 | 支持的地域不同,互聯網邊界防火墻覆蓋的地域多于DNS邊界防火墻。具體內容,請參見支持的地域。 | |
商業化 | 邀測階段,需要聯系商務經理,申請開通。 | 已正式發布,購買云防火墻付費版后即可使用。 |
云防火墻和安全組有什么區別?
安全組是ECS提供的虛擬主機防火墻,能夠對ECS實例間的流量進行訪問控制。
云防火墻是互聯網邊界防火墻、NAT邊界防火墻、VPC邊界防火墻、主機邊界防火墻的統稱,可以提供基于互聯網邊界、NAT邊界、VPC網絡邊界、ECS實例間的流量管控能力,形成全方位的防護體系。
相比于安全組,云防火墻提供以下特有的功能:
支持應用級別的訪問控制,允許對HTTP等協議流量進行控制,不受限于特定端口。
支持域名級別的訪問控制。例如,能夠配置只允許ECS訪問指定的域名網站。
提供入侵防御功能,支持對常見的系統漏洞和暴力破解進行防護。
訪問控制策略支持觀察模式,允許監控潛在風險流量而不立即阻斷。
提供完整的流量日志,并支持對流量進行實時分析。
提供統一平臺安全管控。在云防火墻控制臺配置的主機邊界防火墻控制策略,會自動同步到ECS的安全組,簡化安全管理流程。
主機邊界防火墻的普通策略組和企業策略組有什么區別?
主機邊界防火墻(ECS實例間)訪問控制的策略組對應于ECS的安全組,是一種虛擬防火墻,能夠控制ECS實例的出入站流量。策略組分為普通策略組和企業策略組,適用于不同的使用場景。
普通策略組:對應于ECS的普通安全組,支持組內互通功能和添加授權安全組訪問的規則,但可容納的私網IP數量小于企業級安全組。
企業策略組:對應于ECS的企業安全組,企業級安全組可以容納更多的私網IP地址數量,但不支持組內互通功能,也不支持添加授權安全組訪問的規則。
更多信息,請參見普通安全組與企業級安全組。
配置了HTTP或HTTPS的出方向域名訪問控制策略,如何驗證策略的有效性?
使用curl命令或瀏覽器訪問域名進行測試。例如,執行curl -k "https://www.aliyundoc.com",然后進入云防火墻控制臺查看命中策略的次數和日志審計信息。
請勿使用telnet命令進行域名測試。使用telnet命令對域名和端口進行測試時(例如telnet example.com 80),只會生成TCP握手流量,并不會模擬完整的HTTP或HTTPS請求,此時應用類型識別為Unknown,不會被HTTP或HTTPS應用策略命中。
如何解決一鍵下發安全組默認放通策略失敗的問題?
一鍵下發安全組默認放通策略時,系統返回失敗,表示該資產IP關聯的安全組不支持默認放通,可能原因如下:
該資產IP關聯的安全組為企業安全組。
企業級安全組不支持下發安全組默認放通策略。相關信息,請參見企業安全組。
該資產IP未開啟互聯網邊界防火墻保護開關。
為更好地保護您的資產安全,對于未開啟云防火墻開關的資源,不建議下發默認放通策略;對于已放通的資源,不建議關閉云防火墻的防護開關。
如何解決安全組默認放通策略的“配置沖突不可調整”問題?
可能原因
該資產IP關聯的安全組中的規則與待下發規則的優先級、協議類型、端口范圍、授權對象均相同。
解決方法
建議您前往ECS管理控制臺的安全組頁面查看和調整沖突的規則優先級,具體操作,請參見修改安全組規則。或者提交工單,聯系產品技術專家進行咨詢。
如何解決安全組默認放通策略的一鍵下發按鈕置灰問題?
可能原因
存在還未解決沖突的安全組。
解決方法
您需要根據頁面提示,先解決配置沖突問題后才能一鍵下發安全組默認放通策略。具體操作,請參見互聯網邊界防火墻。
如何解決外部掃描導致的異常外聯誤報?
可能原因
遇到因外部端口掃描而產生的錯誤外聯告警時,通常是由于入向訪問控制策略設置不足所致。當攻擊者掃描非開放端口,云防火墻可能將服務器響應的端口不可達ICMP消息誤判為客戶端發起的外聯。
外聯掃描誤報的具體原理說明如下所示:
在正常情況下,當一個SYN(同步序列編號)數據包送達一個開放的端口,服務器會回應一個SYN-ACK(同步確認)數據包。云防火墻會將SYN和SYN-ACK數據包識別為屬于同一連接的部分。
當攻擊者掃描一個未開放的端口,服務器或者網絡地址轉換(NAT)設備會回應一個表示端口不可達的ICMP(互聯網控制消息協議)數據包。云防火墻不能將這個ICMP響應與任何特定的入向請求關聯起來,因此可能錯誤地認定這個ICMP數據包是從客戶端發起的一次主動外聯連接嘗試。如果掃描的來源IP地址在威脅情報庫中,就會觸發異常外聯的告警。
解決辦法
為減少此類誤報,應當強化入方向的訪問控制,嚴格管理未開放端口,僅放行需開放的端口,其他端口均封禁。具體操作,請參見配置互聯網邊界訪問控制策略。
互聯網邊界防火墻出方向配置了0.0.0.0/0的拒絕策略,為什么還有流量因未命中任何策略而放行?
可能原因
觸發了域名等待
當配置了高優先級的域名策略,流量和策略匹配成功了源IP、目的端口和應用,但未識別出域名。此時,流量默認放行,目的是在后續流量匹配中,盡可能識別出域名。
觸發了應用等待
當配置了高優先級的應用策略,流量和策略匹配成功了源IP、目的IP和端口,但未識別出應用。此時,流量默認放行,目的是在后續流量匹配中,盡可能識別出應用。
解決辦法
您可以配置訪問控制的嚴格模式。
對命中已配置的訪問控制策略的流量,如果存在未識別出應用類型或者域名的流量,將會繼續匹配其他訪問控制策略;如果有配置拒絕策略,將拒絕未識別unknown流量業務訪問。具體操作,請參見訪問控制引擎模式介紹。
您可以放棄七層策略,只使用四層策略。
配置訪問策略時,應用選擇ANY,目的不設置域名。當流量匹配到這條四層策略時,就會按照配置的策略動作執行。具體操作,請參見配置互聯網邊界訪問控制策略。
如何實現只允許訪問某個主域名的特定子域名網站?
以xyz.com域名為例,需要配置只允許訪問abc.xyz.com域名的網頁,此時,您可以按照以下操作配置:
創建一條拒絕
*.xyz.com域名的訪問控制策略,將其優先級置為最后。創建一條放行
abc.xyz.com域名的訪問控制策略,將其優先級置為最前。
需要確保放行特定子域名的策略優先級高于拒絕其他網站的策略。關于如何配置訪問控制策略,請參見配置互聯網邊界訪問控制策略。
如何通過云防火墻加強堡壘機域名的訪問控制?
堡壘機作為綜合性運維管控平臺,提供運維身份鑒別、賬號管控、系統操作審計等多種功能。由于堡壘機存儲和管理了大量賬號等敏感信息,經常成為黑客攻擊的目標。新版堡壘機通過域名方式提供訪問服務,可能面臨外部用戶在非授權的情況下訪問堡壘機,從而獲取對大量資產的訪問權限。
建議通過云防火墻實現用戶對堡壘機域名的訪問控制。如果客戶購買了堡壘機和云防火墻,云防火墻的資產類型自動增加堡壘機,且自動同步堡壘機到云防火墻資產列表。通過云防火墻對堡壘機實施訪問控制、IPS、網絡流量分析,實現對堡壘機公網IP進行統一管理和保護。
訪問控制:
配置互聯網邊界防火墻外到內策略,允許互聯網或指定區域的互聯網訪問堡壘機的開放端口。
配置互聯網邊界防火墻內到外策略,允許堡壘機訪問公網IP。
入侵防護:在防火墻開關處打開堡壘機的保護,使進入、流出堡壘機的流量都經過云防火墻的保護。
具體操作,請參見云防火墻和運維安全中心(堡壘機)聯合部署訪問策略的最佳實踐。
配置策略有效期時,如果重復周期跨天會生效嗎?
如果設置的重復周期跨天,生效時間規則為:只要設置的開始時間在重復周期內,即使結束時間跨天,超出所選的每天、每周、每月范圍,生效時間也會延遲到設置的結束時間。
示例:如果您設置的重復周期為:每周二,18:00-08:00(+1),生效日期為:2024.08.20-2024.08.22,則生效時間為:2024.08.20 18:00~2024.08.21 08:00。