日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 云防火墻 云防火墻CFW 操作指南 防火墻開關 互聯網邊界防火墻

互聯網邊界防火墻

更新時間:
產品詳情
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。

您可以使用互聯網邊界防火墻,精細化管控業務公網資產出入互聯網的訪問流量,減少公網資產在互聯網的暴露面,降低業務流量的安全風險。開通互聯網邊界防火墻時,您無需更改當前網絡拓撲,可以將資源一鍵秒級接入保護,快速實現對互聯網出入流量的可視化分析、攻擊防護、訪問控制、日志審計等。

您可以通過視頻指導,快速了解如何開啟資產保護。

功能介紹

防護原理

公網資產(包括IPv4和IPv6)開啟互聯網邊界防火墻后,云防火墻會基于DPI流量分析、IPS入侵防御規則、威脅情報、虛擬補丁、訪問控制策略等,對出向和入向流量進行過濾,判斷流量是否滿足放行條件,有效攔截非法的訪問流量,保障公網資產與互聯網之間的流量安全。

防護的公網資產范圍(出向+入向):ECS公網IP、ECS EIP、ECS IPv6、CLB公網IP、CLB EIP、ALB EIP、NLB EIP、SLB IPv6、EIP(含L2 EIP)、ENI EIP、NAT EIP、HaVip EIP、GA EIP、堡壘機IP資產等。

其中,GA EIP有以下限制:

  • 該加速IP所屬GA實例必須為標準型實例。

  • 加速IP類型必須為彈性公網IP類型。

  • 該加速IP所屬加速地域不能為阿里云POP點。

    查看加速地域是否為阿里云POP點,請參見ListAvailableBusiRegions

互聯網邊界防火墻的防護場景示例如下圖所示:

image

對業務的影響

創建、開啟及關閉互聯網邊界防火墻時,您無需更改當前的網絡拓撲,可以將資源一鍵秒級接入保護或關閉保護,對業務無影響。建議您在業務低峰期開啟互聯網邊界防火墻。

防護規格

互聯網邊界防火墻的防護規格分為可防護的公網IP數量和公網流量處理能力。

防護規格

說明

云防火墻包年包月版(高級版、企業版、旗艦版)

云防火墻按量版

可防護公網IP數

可開啟互聯網邊界防火墻開關的公網IP數量。

取決于您購買的可防護公網IP數量和可處理的總流量峰值。如果配額不足,您可以升級規格。具體操作,請參見查看資產的防護情況

不同云防火墻版本擁有不同的公網IP配額限制,具體內容,請參見包年包月

根據實際開啟防護的公網IP數和處理的總流量峰值計費,不存在配額限制。詳細計費內容,請參見按量付費

公網流量處理能力

處理的互聯網總流量峰值,計費標準為互聯網出向或入向流量帶寬取最高值。

查看資產的防護情況

云防火墻會為您統計當前已開啟保護的公網IP數、未開啟保護的公網IP數、不同地域公網IP的保護情況等數據,您可以根據實際需求,為公網資產開啟防護。

說明

為了保證業務流量安全,建議您開啟阿里云賬號下所有公網資產的互聯網邊界保護。

  1. 登錄云防火墻控制臺

  2. 在左側導航欄,單擊防火墻開關。

  3. 互聯網邊界防火墻頁簽,查看當前阿里云賬號的公網資產防護情況。

    image..png

  4. (可選)如果當前的可用授權不足,您可以單擊規格升級,根據實際需求升級云防火墻版本、擴展可防護公網IP數公網流量處理能力等。更多信息,請參見包年包月。

開啟防火墻開關

一鍵開啟資產保護

如果沒有開啟新增資產自動保護,您可以手動為公網資產開啟互聯網邊界保護。

  1. 登錄云防火墻控制臺。

  2. 在左側導航欄,單擊防火墻開關。

  3. 互聯網邊界防火墻頁簽,單擊IPv4IPv6頁簽,手動開啟公網資產保護。

    如果在公網資產列表中沒有需要開啟保護的資產,您可以在公網資產列表右上角單擊同步資產,同步當前阿里云賬號及其成員賬號的資產信息。資產同步預計需要1~2分鐘。

    • 單個開啟保護

      在公網資產列表中找到需要開啟保護的公網資產,在操作列單擊開啟保護

      image.png

    • 批量開啟保護

      在公網資產列表中選中多個需要開啟保護的公網資產,在列表下方單擊開啟保護。

      您也可以在數據統計區域單擊開啟保護,根據公網IP、地域和資產類型維度,一鍵開啟所有公網資產的互聯網邊界保護。

開啟新增資產自動保護

開啟新增資產自動保護后,當前阿里云賬號及其成員賬號下如果有新增的公網資產,云防火墻將自動開啟新增資產的互聯網邊界保護。

  1. 登錄云防火墻控制臺

  2. 在左側導航欄,單擊防火墻開關

  3. 互聯網邊界防火墻頁簽,開啟新增資產自動保護開關。

    image.png

后續步驟

創建互聯網邊界防火墻后,您可以為互聯網邊界防火墻設置訪問控制策略、查看公網資產訪問日志等,以便您更好地管控公網資產和互聯網之間的流量訪問。

配置訪問控制策略

如果您未配置任何訪問控制策略,云防火墻默認放行流量。您可以創建互聯網邊界訪問控制策略,精細化管控公網資產訪問互聯網的流量。

防火墻開關 > 互聯網邊界防火墻頁面,定位到目標互聯網邊界防火墻的操作列,單擊配置策略,選擇配置該公網資產的出向或者入向訪問控制策略。具體操作,請參見配置互聯網邊界訪問控制策略。

查詢審計日志

日志監控 > 日志審計頁面的流量日志 > 互聯網邊界頁簽,設置篩選條件,查看公網資產和互聯網的訪問日志。更多信息,請參見日志審計。

查看流量分析

  • 流量分析 > 主動外聯頁面,查看業務資產主動訪問互聯網的流量數據,包括出方向異常流量溯源、資產訪問的互聯網目的地址、公網資產主動外聯、私網資產主動外聯等數據,幫助您排查可疑資產,保障業務安全。更多信息,請參見主動外聯

  • 流量分析 > 公網暴露頁面,查看互聯網訪問業務資產的情況,包括入方向異常流量溯源、業務資產開放公網IP、開放端口、開放應用、云產品的公網IP數量等數據,幫助您排查可疑資產,保障業務安全。更多信息,請參見公網暴露

查看攻擊防護數據

防火墻開關 > 互聯網邊界防火墻頁面,定位到目標互聯網邊界防火墻的操作列,單擊查看攻擊,選擇查看公網資產出向或者入向的攻擊防護數據。具體信息,請參見入侵防御。

查看公網流量處理情況

在左側導航欄,單擊總覽,然后在總覽頁面右上角單擊已購規格用量,查看公網流量的處理能力、近期流量峰值、公網IP防護授權數使用情況。

image

更多操作

下發安全組默認放通策略

說明

互聯網邊界防火墻防護的是互聯網方向的流量方向,因此您需要確認防護的公網資產已放行互聯網方向的流量,具體信息,請參考公網資產對應的官網文檔。

防護ECS資產(包括ECS公網IP和ECS EIP)時,您可以在云防火墻控制臺一鍵下發互聯網方向的默認放行策略,方便您通過云防火墻統一管理規則,無需前往ECS管理控制臺修改安全組的配置。

功能原理

云防火墻通過給ECS資產關聯的安全組下發4個優先級最低(優先級為100)的規則,放行ECS資產在互聯網方向的訪問。

對于相同優先級的規則,ECS安全組會優先匹配拒絕規則。因此,如果您原來配置了優先級為100的拒絕規則,云防火墻下發的放行策略不會使您之前配置的拒絕規則失效。

注意事項

  • 一鍵下發的安全組默認放通策略,會對關聯到該安全組的所有資源生效,在下發前,建議為安全組關聯的所有資源開啟云防火墻保護,并且合理配置互聯網邊界的入方向訪問控制策略,否則會存在公網暴露的風險。

    對于未開啟云防火墻開關的資源,不建議下發默認放通策略;對于已放通的資源,不建議關閉云防火墻的防護開關。

  • 云防火墻服務到期后,通過云防火墻自動新增的4個放通策略還會保留在安全組中,并處于生效狀態。如果您不再使用云防火墻服務,建議您手動刪除云防火墻下發的4條默認放通策略。具體操作,請參見刪除安全組規則。

使用限制

  • 下發安全組默認放通策略功能只支持ECS公網IP和ECS EIP的入方向規則。

  • 企業級安全組不支持下發安全組默認放通策略。

下發放通策略

  1. 登錄云防火墻控制臺

  2. 在左側導航欄,單擊防火墻開關。

  3. 互聯網邊界防火墻頁簽,單擊IPv4IPv6頁簽。

  4. 在公網資產列表找到需要放通默認策略的ECS資產,在安全組默認放行策略列單擊下發。

  5. (可選)如果當前安全組中的規則與待下發的規則沖突,您需要先完成策略調整。

    • 配置沖突可調整:安全組中的規則與待下發規則的優先級相同,但協議類型、端口范圍和授權對象不同。

      您可以在安全組默認放行策略對話框,單擊一鍵調整,通過將安全組原有的規則優先級調高,解決沖突。

    • 配置沖突不可調整:安全組中的規則與待下發規則的優先級、協議類型、端口范圍、授權對象均相同。

      建議您前往ECS管理控制臺安全組頁面查看和調整沖突的規則優先級,具體操作,請參見修改安全組規則?;蛘咛峤?span data-tag="ph" id="74aa01337ccru" docid="2161843" class="ph">工單,聯系產品技術專家進行咨詢。

  6. 在安全組對應的操作列,單擊一鍵下發,查看待下發的4個放通策略,然后單擊確定。

    如果ECS關聯了多個安全組,您可以分別為所有關聯的安全組下發放通策略,該ECS的默認放通策略才會生效。

    image.png

安全組放通配置完成后,您可以在防火墻開關 > 互聯網邊界防火墻頁面查看安全組默認放通策略的下發狀態,確定策略是否已成功下發,及時排查未成功下發的問題。

安全組策略下發狀態包含:

  • 已下發:ECS資產關聯的所有安全組均已下發了默認放通策略;

  • 未下發:ECS資產關聯的全部安全組或部分安全組還未下發默認放通策略,或者存在配置沖突。

  • -:該資產類型不支持一鍵下發默認放通策略。

下載公網資產列表

您可以將公網資產列表的資產信息以CSV文件形式下載到本地。

  1. 登錄云防火墻控制臺

  2. 在左側導航欄,單擊防火墻開關。

  3. 互聯網邊界防火墻頁簽,單擊IPv4IPv6頁簽。

  4. 在公網資產列表右上角,單擊image.png圖標。

  5. 互聯網邊界防火墻頁簽的右上角,單擊下載任務管理,查看任務下載進展。任務下載完成后,在操作列,單擊下載

關閉互聯網邊界保護

警告

關閉公網資產互聯網邊界保護后,云防火墻將無法管控該公網資產的流量,可能會導致該公網資產遭受惡意攻擊、數據泄露等風險。請謹慎操作。

  1. 登錄云防火墻控制臺

  2. 在左側導航欄,單擊防火墻開關。

  3. 互聯網邊界防火墻頁簽,單擊IPv4IPv6頁簽,在公網資產列表中找到需要開啟保護的公網資產,在操作列單擊關閉保護。