售前常見問題
本文介紹使用云防火墻前的常見問題解決方案。
功能特性相關
按量付費版相關
防護范圍相關
與其他云產(chǎn)品的關系
為什么使用云防火墻需要授予服務關聯(lián)角色(AliyunServiceRoleForCloudFW)?
您授權云防火墻訪問當前阿里云賬號下的云資產(chǎn),例如云服務器ECS(Elastic Compute Service)實例列表、專有網(wǎng)絡VPC(Virtual Private Cloud)實例列表、負載均衡SLB(Server Load Balancer)實例列表等,才能在云防火墻控制臺看到云資產(chǎn)的流量請求和響應情況,以及云資產(chǎn)之間的私網(wǎng)業(yè)務訪問情況,并根據(jù)這些數(shù)據(jù)的分析結果配置訪問控制策略。
您只有使用阿里云賬號或擁有管理訪問控制權限(AliyunRAMFullAccess)的RAM用戶身份,才能授權云防火墻訪問云資源。關于授權的具體操作,請參見授權云防火墻訪問云資源。
如何關閉云防火墻按量版?
登錄云防火墻控制臺。在總覽頁面右上角,單擊自助釋放。具體信息,請參見釋放實例。
為什么關閉云防火墻按量付費版后還在扣費?
云防火墻按量付費版以天為單位計費,次日統(tǒng)計前一天的費用并從賬戶中扣除相應費用。即當日關閉的云防火墻按量版,次日還會推送一次賬單。具體信息,請參見按量付費。
如何查看云防火墻按量付費流量使用明細?
登錄云防火墻控制臺。在頁面,查看按量付費流量使用明細。具體操作,請參見查看流量使用明細。
云防火墻按量付費版怎么收費?
云防火墻按量付費版按照實際用量結算,最小粒度為小時,次日統(tǒng)計前一天的費用并從賬戶中扣除相應費用。云防火墻按量付費版的費用計算公式:每日賬單費用=每日產(chǎn)生的公網(wǎng)IP配置費+每日產(chǎn)生的流量處理費。具體信息,請參見按量付費。
如果您購買了按量節(jié)省套餐包,會按照購買的折扣進行抵扣。具體內容,請參見按量節(jié)省套餐包。
如何將云防火墻包年包月版轉按量付費版,有什么影響?
您可以根據(jù)業(yè)務需要,將云防火墻的計費模式由包年包月模式平滑轉換為按量付費。
具體操作和釋放包年包月版的注意事項,請參見包年包月版轉按量版。
如何將云防火墻按量付費版轉包年包月版,有什么影響?
您可以根據(jù)業(yè)務需要,將云防火墻的計費模式由按量付費平滑轉換為包年包月模式。具體操作和注意事項,請參見升級和降配。
什么是云防火墻按量節(jié)省套餐,如何使用?
按量節(jié)省套餐包是云防火墻推出的一種折扣權益計劃,您可以通過承諾在一定期限內消費一定的金額,來換取較低的按量付費折扣。您的承諾消費金額越大,享受的折扣越大,可節(jié)省更多成本。具體信息和操作步驟,請參見按量節(jié)省套餐包。
云防火墻按量版和包年包月版有什么區(qū)別?
云防火墻是否支持防護L2 EIP?
支持。云防火墻支持防護的資產(chǎn)范圍,請參見什么是云防火墻。
云防火墻是否支持防護經(jīng)典網(wǎng)絡?
僅支持經(jīng)典網(wǎng)絡中存在公網(wǎng)IP的ECS實例和部分SLB。主機邊界防火墻支持防護VPC間的流量,不支持防護經(jīng)典網(wǎng)絡。
云防火墻是否支持對公網(wǎng)SLB的訪問?
阿里云提供公網(wǎng)和私網(wǎng)兩種類型的負載均衡(SLB)服務。由于歷史網(wǎng)絡架構的原因,部分公網(wǎng)SLB不支持云防火墻引流,推薦您采用私網(wǎng)SLB加EIP的方案,將流量牽引到云防火墻上進行防護。
采用云防火墻后,數(shù)據(jù)從云防火墻流入DNAT(EIP),再流入私網(wǎng)SLB。
云防火墻是否支持對高速通道(專線VBR)和云企業(yè)網(wǎng)的訪問控制?
支持。具體說明如下:
高速通道場景下,目前只支持同地域VPC和VPC互訪的防護,不支持VPC和VBR互訪的防護。
云企業(yè)網(wǎng)場景下,支持VPC和VPC、VPC和VBR之間互訪的防護。
如果需要云防火墻防護跨地域的VPC間互訪或者VPC和VBR互訪的流量,您需要將高速通道對等連接的專有網(wǎng)絡VPC(Virtual Private Cloud)平滑遷移至云企業(yè)網(wǎng)。相關內容請參見已使用對等連接的VPC遷移至云企業(yè)網(wǎng)。
云防火墻是否有抗APT攻擊的能力?
有。云防火墻內置的威脅情報功能具備防范APT攻擊的能力。
互聯(lián)網(wǎng)邊界防火墻是否支持防護訪問公網(wǎng)VPN的流量?
不支持。如果您從互聯(lián)網(wǎng)訪問公網(wǎng)VPN,該流量會被VPN加密,互聯(lián)網(wǎng)邊界防火墻無法對加密流量進行檢測防護。
VPC邊界防火墻是否支持防護通過IPsec-VPN訪問VPC的流量?
首先需要明確您的網(wǎng)絡部署情況,VPC邊界防火墻是否支持防護分以下三種情況:
第一種:如果您的網(wǎng)絡中IPsec-VPN通過綁定云企業(yè)網(wǎng)轉發(fā)路由器的方式部署,將IPsec-VPN與業(yè)務VPC的網(wǎng)絡打通。這種情況下VPC邊界防火墻支持防護。
例如網(wǎng)絡部署如下,VPC邊界防火墻支持防護企業(yè)辦公網(wǎng)與業(yè)務VPC之間的流量。
第二種:如果您的網(wǎng)絡中IPsec-VPN通過綁定VPN網(wǎng)關的方式部署在業(yè)務VPC內,且業(yè)務中存在跨VPC訪問的流量(CEN、VPC對等連接)。這種情況下,云防火墻支持防護跨業(yè)務VPC訪問的流量。
例如網(wǎng)絡部署如下,VPC邊界防火墻不支持防護企業(yè)辦公網(wǎng)到IPsec-VPN所在VPC之間的流量,但是支持企業(yè)辦公網(wǎng)與其他業(yè)務VPC(與IPsec-VPN所在VPC網(wǎng)絡打通的其他VPC)之間的流量。
如果您的業(yè)務必須防護通過IPsec-VPN訪問其他業(yè)務VPC的流量,可以對網(wǎng)絡進行改造,將IPsec-VPN部署到一個單獨的VPC上,這樣云防火墻就可以防護IPsec-VPN所在VPC到其他業(yè)務VPC的流量。
第三種:如果您的網(wǎng)絡中IPsec-VPN通過綁定VPN網(wǎng)關的方式部署在業(yè)務VPC內,業(yè)務中不存在跨VPC訪問的流量。這種情況下VPC邊界防火墻不支持防護。
例如網(wǎng)絡部署如下,VPC邊界防火墻不支持防護企業(yè)辦公網(wǎng)與業(yè)務VPC之間的流量。
哪些流量會占用云防火墻的防護帶寬?
云防火墻的防護帶寬包含公網(wǎng)流量處理能力、VPC流量處理能力、NAT私網(wǎng)流量處理能力。具體信息,請參見云防火墻購買頁。
云防火墻在阿里云網(wǎng)絡中的位置是什么?
下圖展示了部分阿里云產(chǎn)品(包括云防火墻)的邏輯關系。
同時使用DDoS、WAF、云防火墻,業(yè)務流量如何走向?
同時使用了DDoS、WAF(CNAME接入)、云防火墻,則業(yè)務的流量走向為:
DDoS->WAF->云防火墻->后臺服務
同時使用了DDoS、WAF(云產(chǎn)品接入)、云防火墻,則業(yè)務的流量走向為:
DDoS->云防火墻->WAF->后臺服務
金融云基礎版云防火墻與其他版本有哪些差異?
當您有如下需求時,可以將金融云基礎版云防火墻升級到云防火墻的公有云高級版、企業(yè)版、旗艦版:
期望了解云上業(yè)務對外開放了哪些公網(wǎng)IP和端口,應用開放的IP和端口有什么風險。
有等保需求,需要保持6個月以上的日志。
有基于域名的訪問控制需求,期望對失陷主機的主動外聯(lián)進行控制,控制只允許對外訪問某些域名和IP。
有FTP、MQTT動態(tài)端口協(xié)議的應用,需要基于應用進行訪問控制。
除了杭州金融云,還有其他地域的資源需要通過云防火墻防護。
關于云防火墻版本升級的方法,請參見升級和降配。
不同的版本支持的功能不同,您可以單擊某個版本,在版本描述下查看當前版本的功能說明。更多信息,請參見功能特性。
您可以參考以下表格,對比金融云基礎版云防火墻與其他商業(yè)化版本差異點。
其中
支持的功能 | 描述 | 金融云基礎版 | 高級版 | 企業(yè)版 | 旗艦版 |
防火墻 | 基于IP+端口的訪問控制 |
|
|
|
|
基于應用的訪問控制 |
|
|
|
| |
基于域名的訪問控制 |
|
|
|
| |
主動外聯(lián)活動檢測 |
|
|
|
| |
入侵檢測 | IPS基礎檢測 |
|
|
|
|
虛擬補丁 |
|
|
|
| |
威脅情報 |
|
|
|
| |
網(wǎng)絡活動 | 互聯(lián)網(wǎng)訪問活動分析 |
|
|
|
|
主動外聯(lián)活動 |
|
|
|
| |
入侵檢測活動 |
|
|
|
| |
IPS阻斷分析 |
|
|
|
| |
全量活動搜索 |
|
|
|
| |
日志 | 支持安全日志、流量日志和操作日志,存儲6個月 |
|
|
|
|
業(yè)務可視 | 安全組可視 |
|
|
|
|
自定義分組 |
|
|
|
| |
應用分組可視 |
|
|
|
| |
支持的地域 | 支持區(qū)域 | 僅杭州地域 | 請參見支持的地域 | 請參見支持的地域 | 請參見支持的地域 |
性能 公有云版本可擴展的規(guī)格詳情,請參見包年包月。 | 防火墻支持防護的公網(wǎng)IP數(shù)量 |
| 默認20個,可擴展 | 默認50個,可擴展 | 默認400個,可擴展 |
公網(wǎng)流量處理能力(公網(wǎng)方向可防護的流量峰值,入向出向取其高) |
| 默認10 Mbps,可擴展 | 默認50 Mbps,可擴展 | 默認200 Mbps,可擴展 | |
可防護的VPC邊界防火墻數(shù) |
|
| 默認2個,可擴展 | 默認5個,可擴展 | |
VPC流量處理能力(可防護的VPC間的總流量峰值) |
|
| 默認200 Mbps,可擴展 | 默認1,000 Mbps,可擴展 | |
可防護的NAT防火墻數(shù) |
| 默認0個,可擴展 | 默認1個,可擴展 | 默認2個,可擴展 | |
NAT私網(wǎng)流量處理能力 |
| 默認0 Mbps,可擴展 | 默認10 Mbps,可擴展 | 默認20 Mbps,可擴展 | |
支持最大策略數(shù) | 1000 | 互聯(lián)網(wǎng)邊界防火墻策略授權規(guī)格:默認4,000個,可擴展 |
|
|
云防火墻最多支持幾個跨賬號部署?
云防火墻高級版、企業(yè)版、旗艦版支持統(tǒng)一賬號管理功能(即跨賬號部署)。關于各版本支持的管控數(shù),請參見計費說明。如果您需要添加更多的成員賬號,需要升級云防火墻規(guī)格,擴充多賬號管控數(shù)。具體操作,請參見升級和降配。
云防火墻支持公網(wǎng)SLB主要覆蓋哪些防護場景?
云防火墻現(xiàn)已全面支持新一代公網(wǎng)SLB架構,提供全面的云端公網(wǎng)SLB防護。如果您已購買阿里云防火墻產(chǎn)品,可登錄云防火墻控制臺開啟防護開關,提升整體網(wǎng)絡安全能力。此外,云防火墻為公網(wǎng)SLB架構的互聯(lián)網(wǎng)訪問提供入侵防御和訪問控制:
入侵防御(IPS):提供快速部署的虛擬補丁,防護0-day和其他突發(fā)高風險漏洞,無需重啟或安裝補丁即可阻止漏洞遭到黑客攻擊。
訪問控制:實施細致的互聯(lián)網(wǎng)訪問管控,支持HTTP和HTTPS等應用,同時提供特定IP、端口和協(xié)議的限制,特別是TCP業(yè)務的訪問控制,并能限定訪問源區(qū)域,如只允許來自特定地區(qū)的訪問,確保業(yè)務運行更加可靠和安全。
相比客戶自建防火墻,阿里云云防火墻有哪些優(yōu)勢?
阿里云云防火墻提供了一個易于操作且即開即用的解決方案,它能統(tǒng)一管理南北向和東西向的網(wǎng)絡流量,全方位確保云上網(wǎng)絡的安全。相比于自建防火墻,阿里云云防火墻有以下優(yōu)勢:
托管服務:自建防火墻設備授權根據(jù)VPC數(shù)量增加,通過路由方式進行配置和設備同步,增加更多網(wǎng)絡側故障點的同時,帶來了更復雜的安全控制與管理開銷。云防火墻由阿里云托管提供,無需部署任何設備。通過在控制臺簡單的設置,秒級接入,有效降低網(wǎng)絡安全管控運維成本。
高可用和彈性擴展:自建防火墻高可用與性能強依賴于虛擬設備,云防火墻采用了集群部署的模式,支持性能的平滑擴展,無需關注高可用、擴容或接入等問題。通過雙可用區(qū)部署,任意一臺服務器或者任意一個AZ故障時都不會導致云防火墻故障。
云服務深度集成:云防火墻原生整合阿里云各類網(wǎng)絡服務(如VPC、CEN、EIP、SLB等),通過在網(wǎng)絡層面控制對云資產(chǎn)的訪問,聯(lián)動終端安全能力,解決對云資產(chǎn)的異常訪問問題。
入侵防御和威脅情報:云防火墻內置威脅檢測引擎,可同步更新全網(wǎng)威脅情報,對超過500萬的活躍惡意IP與域名條目進行監(jiān)控,實現(xiàn)對來自互聯(lián)網(wǎng)的威脅進行實時檢測和阻斷。
云防火墻互聯(lián)網(wǎng)邊界核心防御功能有哪些?
互聯(lián)網(wǎng)邊界防火墻檢測互聯(lián)網(wǎng)和云上公網(wǎng)IP資產(chǎn)間的通信流量。開通云防火墻服務后,可以為您提供以下防御功能:
盤點資產(chǎn):云防火墻互聯(lián)網(wǎng)分析資產(chǎn)入向和出向正常流量和異常流量,包括開放應用、開放端口、開放公網(wǎng)IP地址和流量訪問的云產(chǎn)品信息。
防護入侵:云防火墻內置了威脅檢測引擎,可對互聯(lián)網(wǎng)上的惡意流量入侵活動和常規(guī)攻擊行為進行實時檢測和攔截,結合威脅情報,智能阻斷入侵風險。
封禁域名:網(wǎng)絡資產(chǎn)開啟云防火墻開關后,主動外聯(lián)實時分析主機的主動外聯(lián)數(shù)據(jù),及時發(fā)現(xiàn)可疑主機。通過基于域名或IP的訪問控制,實現(xiàn)對公網(wǎng)訪問的封禁。
抵擋漏洞:對于可被遠程利用的高危漏洞,云防火墻提供了虛擬補丁的能力,幫助客戶在無法安裝補丁或重啟系統(tǒng)的情況下,實現(xiàn)對漏洞的自動化防御。
如何通過Web應用防火墻和云防火墻,有效管理互聯(lián)網(wǎng)暴露面?
狹義的互聯(lián)網(wǎng)暴露面是暴露在互聯(lián)網(wǎng)的已知或未知資產(chǎn),包括但不限于IP、端口、域名、應用、API接口等,企業(yè)接入網(wǎng)絡的資產(chǎn)數(shù)量快速增長,互聯(lián)網(wǎng)暴露面的風險增加,而互聯(lián)網(wǎng)暴露面越多越大,企業(yè)面臨的威脅就越大,有效管理互聯(lián)網(wǎng)暴露面是安全運營和管理工作的基本要求。
業(yè)務應用資產(chǎn)的管理:各類業(yè)務系統(tǒng)平臺逐年增多,可能存在員工自建站點,測試環(huán)境或API未及時回收等情況。這些資產(chǎn)可能使用了低版本的開源系統(tǒng)、組件、Web框架,開放了超過業(yè)務需求的訪問權限,攻擊者可以利用這些資產(chǎn)作為“跳板”繞過企業(yè)的網(wǎng)絡邊界防護。Web應用防火墻資產(chǎn)識別通過獲取阿里云證書、云解析、Web應用防火墻、萬網(wǎng)等產(chǎn)品的配置信息,結合大數(shù)據(jù)關聯(lián)分析能力,提供全局資產(chǎn)視角,避免在安全防護中出現(xiàn)資產(chǎn)疏漏,提高整體安全防護水位線。
網(wǎng)絡資產(chǎn)的管理:企業(yè)業(yè)務的高速發(fā)展,云上IP數(shù)量逐年增多。由于疏于管理,這些IP可能開放了超過業(yè)務需求的端口和服務。云防火墻幫助檢測互聯(lián)網(wǎng)和云上公網(wǎng)IP資產(chǎn)間的通信流量,關閉不必要的IP、端口暴露,通過配置訪問控制策略,對互聯(lián)網(wǎng)訪問進行精細化的訪問控制。
為什么使用CEN-TR的客戶,有著相對更強的云防火墻需求?
隨著越來越多的業(yè)務上云,企業(yè)云上網(wǎng)絡可能規(guī)劃多個跨地域的VPC,通過云企業(yè)網(wǎng) CEN(Cloud Enterprise Network)幫助用戶構建一張高性能、低延遲的跨地域多個VPC以及云上VPC與線下IDC互聯(lián)的高可用網(wǎng)絡,實現(xiàn)多樣化的組網(wǎng)和管理需求。
所以企業(yè)版轉發(fā)路由器(CEN-TR)的客戶大會存在如下需求:
多業(yè)務跨VPC、混合云的網(wǎng)絡管控需求:由于不同VPC的業(yè)務等級和安全等級不同,但是業(yè)務互訪需要將多VPC有條件的聯(lián)通,從網(wǎng)絡殺傷鏈攻擊者橫向滲透的角度,企業(yè)需要合理規(guī)劃和設計云上跨VPC以及云上VPC和云下IDC的網(wǎng)絡訪問控制和防護策略。跨VPC網(wǎng)絡安全管理、云上VPC到云下IDC邊界管控的復雜度與企業(yè)VPC數(shù)量、上云業(yè)務規(guī)模等有著很大的關聯(lián)。CEN-TR擴大了支持的VPC數(shù)量,云上東西向網(wǎng)絡管理復雜度提升,客戶對云上高效的東西向精細化管控需求更強。
合規(guī)需求:大型企業(yè)級客戶上云,大多面臨等保、ISO27001等合規(guī)需求,對網(wǎng)絡安全訪問控制策略提出了要求,例如,等保云計算安全擴展提到應在不同等級的網(wǎng)絡區(qū)域邊界部署訪問控制機制,實現(xiàn)基于會話和應用的訪問控制,這些要求需要云防火墻企業(yè)版的東西向網(wǎng)絡管控/防護能力。