本文介紹開啟或關閉防火墻開關時可能遇到的問題,包括開啟防火墻對業務的影響、開墻后的路由和流量變化等。
互聯網邊界防火墻
NAT邊界防火墻
VPC邊界防火墻
開啟防火墻開關對業務有什么影響?
防火墻類型 | 對業務的影響 |
互聯網邊界防火墻 | 創建、開啟及關閉互聯網邊界防火墻時,您無需更改當前的網絡拓撲,可以將資源一鍵秒級接入保護或關閉保護,對業務無影響。 |
NAT邊界防火墻 |
|
高速通道VPC邊界防火墻 基礎版轉發路由器VPC邊界防火墻 |
|
企業版轉發路由器VPC邊界防火墻 | 自動引流
手動引流
|
為什么當前賬號無法開啟云防火墻?
可能原因
登錄云防火墻控制臺時,頁面提示當前賬號無法開啟云防火墻。可能原因如下:
當前賬號為阿里云賬號(主賬號)且已被其他阿里云賬號添加為成員賬號進行統一管理。
當前賬號為RAM用戶(子賬號)且未完成授權。
解決方案
您可以移動光標到控制臺頁面右上角的登錄賬號頭像處,查看賬號ID。
如果賬號ID是以1開頭的一串數字,表示該賬號為阿里云賬號(主賬號)。
此時,您需要使用統一管理該賬號的管理員賬號登錄云防火墻控制臺,開通云防火墻服務后,為成員賬號的云資產開啟防護。具體操作,請參見購買云防火墻服務。
如果賬號ID是以2開頭的一串數字,表示該賬號為RAM用戶(子賬號)。您需要使用該賬號所屬的阿里云賬號(主賬號)對該賬號授予createSlr、AliyunYundunCloudFirewallReadOnlyAccess和AliyunYundunCloudFirewallFullAccess權限。授權的具體操作,請參見為RAM用戶授權。
其中,createSlr是自定義權限策略,需要創建自定義權限策略,具體的腳本內容如下。具體操作,請參見創建自定義權限策略。
{ "Statement": [ { "Action": [ "ram:CreateServiceLinkedRole" ], "Resource": "acs:ram:*:166032244439****:role/*", "Effect": "Deny", "Condition": { "StringEquals": { "ram:ServiceName": [ "cloudfw.aliyuncs.com" ] } } } ], "Version": "1" }說明Resource參數的格式為
acs:ram:*:阿里云賬號(主賬號)ID:role/*。阿里云賬號(主賬號)ID填寫為RAM用戶(子賬號)所屬的主賬號ID。
互聯網邊界防火墻的作用是什么?
互聯網邊界防火墻支持接入多種公網資產,例如ECS公網IP、SLB公網IP、EIP等。開啟互聯網邊界防火墻后,系統將資產出入互聯網邊界的流量轉發到云防火墻,云防火墻會對流量進行檢測和過濾,只允許滿足放行條件的流量通過。更多內容,請參見互聯網邊界防火墻。
互聯網邊界防火墻是否支持防護IPv6資產?
支持。互聯網邊界防火墻支持防護ECS IPv6、SLB IPv6等公網資產。互聯網邊界防火墻支持防護的資產范圍,請參見防護范圍。
互聯網邊界防火墻是否會對網絡流量產生影響?
如果僅開啟互聯網邊界防火墻開關,未配置互聯網邊訪問控制策略和入侵防御策略,云防火墻僅對流量進行檢測和告警,不會進行攔截。
購買了云防火墻,互聯網邊界防火墻開關默認全部開啟。
關閉互聯網邊界防火墻有什么影響?
關閉互聯網邊界防火墻,所有流量不會經過互聯網邊界防火墻,將會產生以下影響:
互聯網邊界防火墻的防護能力將會失效,包括互聯網邊界出入方向的訪問控制策略、入侵防御等。
互聯網邊界流量數據統計不會更新,包括網絡流量分析報表、流量日志等。
為什么開啟互聯網邊界防火墻時提示SLB網絡限制?
可能原因
在開啟互聯網邊界防火墻時,控制臺頁面提示由于SLB所在網絡限制,該IP所在網絡不支持開啟防火墻保護,可能是因為該SLB資產只有私網IP,不支持開啟云防火墻保護。
解決方案
對于只有私網IP的資產,如果需要開啟云防火墻防護,您可以通過綁定EIP,將流量牽引到云防火墻進行防護。具體操作,請參見私網CLB實例綁定和管理EIP。
免費版同步資產后,部分公網IP資產沒有顯示?
云防火墻免費版只能同步EIP資產,且新增資產需要T+1天才能同步到云防火墻。無法同步ECS公網IP、SLB公網IP。
開啟VPC邊界防火墻是否會影響ECS安全組規則?
不會。
開啟VPC邊界防火墻后,云防火墻會自動創建名為Cloud_Firewall_Security_Group的安全組和相應的放行策略,用于允許流量通過到VPC邊界防火墻。Cloud_Firewall_Security_Group安全組僅對該VPC內的流量進行管控,您在之前創建的ECS安全組規則仍然有效,不會受到影響。因此,您無需遷移或修改ECS安全組規則。
創建VPC邊界防火墻時,提示存在未授權的網絡實例?
可能原因
云企業網中存在另一個阿里云賬號下的專有網絡VPC,并且該阿里云賬號未授權云防火墻訪問云資源。
解決方案
您通過未授權的阿里云賬號登錄云防火墻控制臺,根據頁面提示完成云防火墻服務角色授權。具體操作,請參見授權云防火墻訪問云資源。
基礎版轉發路由器場景,開啟VPC邊界防火墻后多了一條拒絕路由策略?
通過基礎版轉發路由器連接的VPC(假設為VPC-test)開啟VPC邊界防火墻后,云防火墻會在該基礎版轉發路由器下創建一個名為Cloud_Firewall_VPC的VPC,并發布靜態路由,用于將該基礎版轉發路由器下未開墻的VPC流量引入到云防火墻。
同時,云防火墻會在VPC-test內添加一條指向云防火墻ENI的靜態路由,將VPC-test出方向的流量引入到云防火墻;并且創建一條拒絕路由策略,使得VPC-test不再學習云企業網發布的路由。
請勿修改和刪除上述的路由策略和路由表,否則會影響云防火墻引流,導致業務流量不通。
NAT邊界防火墻為什么需要創建路由表和下發0.0.0.0/0靜態路由?
開啟NAT邊界防火墻后,云防火墻會自動創建一個名為Cloud_Firewall_ROUTE_TABLE的自定義路由表,并添加路由0.0.0.0/0指向NAT網關,同時會修改系統路由表中的0.0.0.0/0路由條目,將其下一跳將指向云防火墻ENI,目的是將NAT網關出方向的流量引流到云防火墻。
請勿修改或刪除上述的路由表和路由條目,否則會影響云防火墻引流,導致業務流量不通。
同時開啟互聯網邊界、NAT邊界和DNS邊界防火墻,出方向的流量如何匹配?
同時開啟互聯網邊界、NAT邊界和DNS邊界防火墻,當ECS發起域名訪問(出方向流量)時,流量匹配如下:
ECS發起DNS解析請求,解析請求會經過DNS邊界防火墻,匹配DNS邊界防火墻的訪問控制策略。
ECS發起的私網流量經過NAT邊界防火墻,匹配NAT邊界防火墻的訪問控制策略。
允許放行的私網流量經過NAT網關,由NAT網關將私網源IP轉換成NAT公網IP。
NAT網關發送公網流量到互聯網邊界防火墻,匹配互聯網邊界防火墻的訪問控制策略。
流量匹配云防火墻的威脅情報、基礎防御、智能防御和虛擬補丁規則。
如果在上述過程中,流量未命中任何一個拒絕策略,則該流量成功訪問域名;如果該過程流量命中任何一個拒絕策略時,流量會被拒絕,將無法訪問域名。
如何高效開啟和配置云防火墻互聯網邊界訪問控制策略?
云計算已成為企業數字化轉型的必然選擇,更廣泛的云技術方案構成了更復雜的業務架構,安全邊界變得更加模糊。企業可通過云防火墻構建云上網絡邊界防護能力,但是如果互聯網IP數量多,需要設置的訪問控制策略會很復雜。
云防火墻提供了AI智能策略,可以自動學習近30日的流量情況、以及云上IP資產、服務被訪問和主動外聯的情況,為每個目的IP或域名自動建議合適的互聯網邊界訪問控制策略,縮小資產在互聯網中的暴露面,阻斷內到外的惡意IP和域名,降低業務入侵風險。
關于如何下發互聯網邊界防火墻的智能訪問控制策略,請參見配置互聯網邊界訪問控制策略。