本文主要介紹了云防火墻相關的基本概念。
安全組和主機防火墻
安全組是ECS提供的分布式虛擬主機防火墻,具備狀態檢測和數據包過濾功能,用于設置ECS實例間的網絡訪問控制。安全組是由同一個地域(Region)內具有相同安全防護需求并相互信任的實例組成。在創建實例的時候您需要指定安全組,每個實例至少屬于一個安全組。
主機防火墻底層使用了安全組的功能,您既可以在訪問控制頁面的主機邊界防火墻頁簽下配置策略,也可以在ECS管理控制臺配置策略,兩邊配置自動保持同步。
主動外聯
主動外聯是指阿里云主機主動訪問外部IP的連接分析,可以幫助您及時發現可疑主機。
失陷感知
失陷感知是一種監控網絡傳輸,檢查是否有可疑活動的系統,在檢測到可疑事件時發出告警或者采取主動反應措施。云防火墻集成阿里云近十年檢測防御能力,對經過云防火墻的流量進行實時分析、統計,智能地發現失陷主機并阻斷異常網絡活動。
開放應用、開放端口、開放公網IP
開放應用指您暴露在互聯網上的應用,如HTTP、SSH等。
開放端口指您暴露在互聯網上的端口,如80、22等。
開放公網IP指您暴露在互聯網上的資產的公網IP。
目前云防火墻支持識別以下幾種資產的公網IP:
EIP(支持綁定到專有網絡類型的ECS實例、專有網絡類型的私網SLB實例、彈性網卡和NAT網關上)
NatPublicIp(ECS系統分配的公網IP)
應用組
應用組是云防火墻東西向業務可視中提供的相同或相似服務的應用集合,如所有部署了MySQL的ECS可以歸屬到同一個DB應用組。
應用是云防火墻東西向業務可視的最小單位,默認情況下一個應用等于一臺ECS上所有開放端口的集合,您可以通過指定端口的克隆應用來創建新的應用。
業務區
業務區是云防火墻東西向業務可視中構成您某個業務的各個應用組的集合,如門戶網站業務區包含Web應用組、DB應用組等。
高危應用組和高危業務區
高危應用組指開放了高危端口(如445端口)的應用集合。每一個高危端口會獨立產生一個高危應用組。
高危業務區是高危應用組的集合。
高危業務區和高危應用組可以幫助您發現哪些ECS實例開放了不安全的高危端口以及具體哪些ECS訪問了高危端口。
目前高危業務區由云防火墻自動創建和識別。
依賴區和被依賴區
依賴區和被依賴區是云防火墻東西向業務可視中提供的抽象概念,是指兩個業務區的訪問關系。如業務區A訪問了業務區B,那么我們稱業務區B是業務區A的依賴區,而業務區A是業務區B的被依賴區。
首次流量
首次流量指源IP到目的IP的訪問流量在統計周期內第一次出現。您可以根據首次流量出現的時間、源IP和目的IP等信息,進一步排查首次流量出現的原因。通常情況下首次流量由新業務上線或者入侵造成。
地址簿
為了方便您引用IP地址或端口信息,實現IP地址或端口的靈活配置,云防火墻支持將多個IP地址或者多個端口指定成一個地址簿。在配置時,只需要引用該地址簿即可實現對多個IP地址或端口的批量配置。
云防火墻目前支持四類地址簿:
IP地址簿:您可以配置一組IP地址。
端口地址簿:您可以配置一組端口。
域名地址簿:您可以配置一組域名。
云地址簿:您可以配置一組IP地址或域名。
地址簿還具有以下特點:
云防火墻內置一些全局地址簿,全局地址簿不可以編輯也不可以刪除。
多個地址簿可以包含同一個IP地址或端口。
地址簿內IP或端口變動,在訪問控制策略中會自動生效。