云防火墻(Cloud Firewall)幫助您在云上實現業務隔離和防護,確保業務安全且滿足合規要求。本文介紹如何更好地使用云防火墻為您的業務提供防護保障。
為什么需要云防火墻實現云上安全域安全隔離和防護?
基于業務類型、網絡規模、業務管理等因素的影響,一般企業上云后的安全域處于默認模式,這樣就會導致隨著業務的發展,業務網絡架構變得混亂。例如,開放了不必要的端口發布到互聯網、內部通信訪問權限太大等。如果業務被惡意入侵,會存在很大的安全隱患。
網絡安全域類似酒店,每個不同的入住客人可以入住不同的樓層和房間,互不干擾。在實際的IT業務環境中,數據庫服務器與供客戶訪問的Web服務器顯然不是一個安全等級,測試環境的服務器與正式提供服務的生產服務器也不是一個安全等級。因此,我們要對相應的業務資產從業務功能、通信關系等方面劃分安全域。
如何設計安全域隔離業務
企業業務一般按業務維度劃分為互聯網業務、內部系統;按系統維度分區:生產、開發測試、共享區等。針對不同業務區可通過云防火墻實現安全域隔離和防護。
互聯網入安全設計
設計原則:保證靈活性、彈性伸縮能力和安全性。
設計建議:
配置云防火墻互聯網邊界防火墻管控公網入向流量(可搭配WAF和DDoS防護)。
可選:配置統一隔離區DMZ(Demilitarized Zone)VPC,搭配彈性公網IP(簡稱EIP)、負載均衡SLB、ECS公網等提供互聯網入向連接。
互聯網出向安全設計
設計原則:保證靈活性、彈性伸縮能力和安全性。
設計建議:
配置云防火墻互聯網邊界防火墻和NAT邊界防火墻分別管控公網和私網出向流量。
可選:配置統一隔離區DMZ(Demilitarized Zone)VPC或不同業務VPC,搭配彈性公網IP(簡稱EIP)、NAT網關等提供互聯網出向連接。
云上業務互聯安全設計
設計原則:環境隔離,必要的連通同時保證安全。
設計建議:
配置云企業網(CEN),推薦企業版轉發路由器,綁定VPC實現云上網絡實例互聯,或綁定VBR實現跨云互聯互訪。
配置云防火墻VPC邊界防火墻實現云上跨VPC或跨云業務流量安全4~7層訪問控制和橫向攻擊防護和審計溯源。
配置云防火墻主機邊界防火墻實現VPC內微隔離。
云上與IDC機房業務互聯安全設計
設計原則:云上與本地機房互訪互通,同時保證安全。
設計建議:
配置云企業網(CEN)或高速通道,本地IDC機房通過VBR接入云企業網或高速通道與云上VPC業務區互訪。
配置VPC邊界防火墻實現本地IDC機房與云上VPC業務區互訪異常流量監控、4~7層精細化訪問控制策略訪問控制、橫向攻擊防護、日志審計等。
針對大型的集團子公司業務:生產網的安全域又會分為集團安全域、子分公司安全域等。集團安全域又劃分為生產網外網區、內網區和生產網DMZ區。生產內網的安全域又會根據業務類型的不同分為普通業務安全域、核心業務安全域、數據庫安全域等。
針對一般的小型公司業務:根據業務類型、功能模塊、網絡通信關系等維度,劃分為普通業務安全、核心業務安全域、數據安全域、DMA安全域(郵件系統、門戶網站)等。
滿足等級保護或安全內審等合規
南北向和東西向流量訪問控制
部署云防火墻實現南北向和東西向訪問的網絡流量分析、全網流量可視化、對主動外聯行為的分析和阻斷、開通或變更白名單策略。
部署云防火墻實現統一管理互聯網到業務的南北向訪問策略和業務與業務之間的東西向微隔離策略,達到協議、端口、地域、應用級訪問控制粒度。
您需要根據業務部署云防火墻實現策略命中計數功能,確保沒有冗余的策略。云防火墻訪問控制策略可配置優先級,您可以根據業務需求優化訪問控制列表。
部署云防火墻實現對進出訪問控制策略進行嚴格設置。訪問控制策略包括源類型、訪問源、目的類型、目的、協議類型、目的端口、應用協議、動作、描述和優先級。
部署云防火墻實現狀態級對互聯網上的惡意流量入侵活動和常規攻擊行為進行實時阻斷和攔截。
部署云防火墻實現跨VPC數據流的應用協議、內容的訪問控制。
針對惡意流量的入侵防御機制
部署云防火墻實現對互聯網上的惡意流量入侵活動和常規攻擊行為進行實時阻斷和攔截。
部署云防火墻實現出方向流量的主動外聯、失陷感知等出方向流量分析和攻擊防護及訪問控制。
部署云防火墻結合威脅情報和智能引擎等對云上進出網絡的惡意流量進行實時檢測與阻斷,支持防御挖礦蠕蟲等新型網絡攻擊,并通過積累大量惡意攻擊樣本,形成精準防御規則。云防火墻入侵檢測功能支持發現挖礦蠕蟲感染事件。
部署云防火墻實現攻擊行為的檢測和記錄,提供網絡阻斷功能,記錄風險級別、事件名稱、防御狀態、源IP、目的IP、方向、判斷來源、發生時間和動作。
部署云防火墻實現網絡惡意代碼攻擊的檢測和防護,并定期實時在線更新惡意代碼檢測規則。
針對威脅事件提供日志溯源能力
部署云防火墻利用日志審計模塊記錄所有流量日志、事件日志和操作日志。
部署云防火墻實現日志記錄事件被掃描到的時間、威脅類型、進出方向、源IP和目的IP、應用類型、嚴重性等級以及動作狀態等信息。
部署云防火墻實現日志分析功能,依托日志服務產品,存儲日志數據,并提供實時日志分析能力。
具體信息,請參見等保合規能力說明。
選擇適合的云防火墻版本
什么是云防火墻
如何根據業務選擇合適的云防火墻版本
云防火墻分為按量版(含按量節省套餐包)、高級版、企業版和旗艦版四個版本,每個版本支持的功能、資產、帶寬擴展規格不同。根據如下表格說明選擇合適的版本。更多信息,請參見功能特性。
如何進行版本選型
按量版(含按量節省套餐包):云防火墻按量版采用先使用后付費的計費方式,可搭配按量節省套餐包(預付費)節省更多成本。
適用于業務用量經常變化、資源使用有臨時性和突發性等企業場景。
適用于資產數(一般公網資產10個以下)或流量較小(一般峰值帶寬10 Mbps以下)的中小企業場景。
包年包月版:高級版、企業版、旗艦版。包年包月是一種先付費后使用的預付費方式。通過包年包月,您可以提前預留資源,實現較大規格量資產的安全保護。
適合業務用量穩定、資源使用穩定的企業場景。
適用于資產數較多(一般公網資產10個以上)或流量較大(一般峰值帶寬10 Mbps以上)的企業場景。
防護公網IP數 | 防護VPC數量 | 是否支持多賬號管控 | 建議云防火墻版本 | 核心功能 |
1~1,000個 | 無 | 否 | 按量版 |
|
20~1,000個 | 無 | 1~20個 | 高級版 | |
50~2,000個 | 2~200個 | 1~50個 | 企業版 |
|
400~4,000個 | 5~500個 | 1~1000個 | 旗艦版 |
|
納管其他阿里云賬號資產 | 高級版:1~20個 企業版:1~50個 旗艦版:1~1,000個 | 是 | 高級版、企業版、旗艦版 |
云防火墻支持的防護范圍
防護范圍 | 說明 | 相關文檔 |
防護的云資產和流量 | 云防火墻可以防護以下云資產或流量:
說明 由于歷史網絡架構的原因,少量公網SLB不支持云防火墻引流,推薦您采用私網SLB加EIP的方案,將流量牽引到云防火墻上進行防護。 | |
云網絡類型 |
| - |
地域 | 云防火墻支持的地域信息。 |