互聯(lián)網(wǎng)邊界防火墻
本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業(yè)務(wù)造成影響,請務(wù)必仔細(xì)閱讀。
您可以使用互聯(lián)網(wǎng)邊界防火墻,精細(xì)化管控業(yè)務(wù)公網(wǎng)資產(chǎn)出入互聯(lián)網(wǎng)的訪問流量,減少公網(wǎng)資產(chǎn)在互聯(lián)網(wǎng)的暴露面,降低業(yè)務(wù)流量的安全風(fēng)險。開通互聯(lián)網(wǎng)邊界防火墻時,您無需更改當(dāng)前網(wǎng)絡(luò)拓?fù)洌梢詫①Y源一鍵秒級接入保護(hù),快速實現(xiàn)對互聯(lián)網(wǎng)出入流量的可視化分析、攻擊防護(hù)、訪問控制、日志審計等。
您可以通過視頻指導(dǎo),快速了解如何開啟資產(chǎn)保護(hù)。
功能介紹
防護(hù)原理
公網(wǎng)資產(chǎn)(包括IPv4和IPv6)開啟互聯(lián)網(wǎng)邊界防火墻后,云防火墻會基于DPI流量分析、IPS入侵防御規(guī)則、威脅情報、虛擬補(bǔ)丁、訪問控制策略等,對出向和入向流量進(jìn)行過濾,判斷流量是否滿足放行條件,有效攔截非法的訪問流量,保障公網(wǎng)資產(chǎn)與互聯(lián)網(wǎng)之間的流量安全。
防護(hù)的公網(wǎng)資產(chǎn)范圍(出向+入向):ECS公網(wǎng)IP、ECS EIP、ECS IPv6、CLB公網(wǎng)IP、CLB EIP、ALB EIP、NLB EIP、SLB IPv6、EIP(含L2 EIP)、ENI EIP、NAT EIP、HaVip EIP、GA EIP、堡壘機(jī)IP資產(chǎn)等。
其中,GA EIP有以下限制:
該加速IP所屬GA實例必須為標(biāo)準(zhǔn)型實例。
加速IP類型必須為彈性公網(wǎng)IP類型。
該加速IP所屬加速地域不能為阿里云POP點。
查看加速地域是否為阿里云POP點,請參見ListAvailableBusiRegions。
互聯(lián)網(wǎng)邊界防火墻的防護(hù)場景示例如下圖所示:
對業(yè)務(wù)的影響
創(chuàng)建、開啟及關(guān)閉互聯(lián)網(wǎng)邊界防火墻時,您無需更改當(dāng)前的網(wǎng)絡(luò)拓?fù)洌梢詫①Y源一鍵秒級接入保護(hù)或關(guān)閉保護(hù),對業(yè)務(wù)無影響。建議您在業(yè)務(wù)低峰期開啟互聯(lián)網(wǎng)邊界防火墻。
防護(hù)規(guī)格
互聯(lián)網(wǎng)邊界防火墻的防護(hù)規(guī)格分為可防護(hù)的公網(wǎng)IP數(shù)量和公網(wǎng)流量處理能力。
防護(hù)規(guī)格 | 說明 | 云防火墻包年包月版(高級版、企業(yè)版、旗艦版) | 云防火墻按量版 |
可防護(hù)公網(wǎng)IP數(shù) | 可開啟互聯(lián)網(wǎng)邊界防火墻開關(guān)的公網(wǎng)IP數(shù)量。 | 取決于您購買的可防護(hù)公網(wǎng)IP數(shù)量和可處理的總流量峰值。如果配額不足,您可以升級規(guī)格。具體操作,請參見查看資產(chǎn)的防護(hù)情況。 不同云防火墻版本擁有不同的公網(wǎng)IP配額限制,具體內(nèi)容,請參見包年包月。 | 根據(jù)實際開啟防護(hù)的公網(wǎng)IP數(shù)和處理的總流量峰值計費,不存在配額限制。詳細(xì)計費內(nèi)容,請參見按量付費。 |
公網(wǎng)流量處理能力 | 處理的互聯(lián)網(wǎng)總流量峰值,計費標(biāo)準(zhǔn)為互聯(lián)網(wǎng)出向或入向流量帶寬取最高值。 |
查看資產(chǎn)的防護(hù)情況
云防火墻會為您統(tǒng)計當(dāng)前已開啟保護(hù)的公網(wǎng)IP數(shù)、未開啟保護(hù)的公網(wǎng)IP數(shù)、不同地域公網(wǎng)IP的保護(hù)情況等數(shù)據(jù),您可以根據(jù)實際需求,為公網(wǎng)資產(chǎn)開啟防護(hù)。
為了保證業(yè)務(wù)流量安全,建議您開啟阿里云賬號下所有公網(wǎng)資產(chǎn)的互聯(lián)網(wǎng)邊界保護(hù)。
開啟防火墻開關(guān)
一鍵開啟資產(chǎn)保護(hù)
如果沒有開啟新增資產(chǎn)自動保護(hù),您可以手動為公網(wǎng)資產(chǎn)開啟互聯(lián)網(wǎng)邊界保護(hù)。
登錄云防火墻控制臺。
在左側(cè)導(dǎo)航欄,單擊防火墻開關(guān)。
在互聯(lián)網(wǎng)邊界防火墻頁簽,單擊IPv4或IPv6頁簽,手動開啟公網(wǎng)資產(chǎn)保護(hù)。
如果在公網(wǎng)資產(chǎn)列表中沒有需要開啟保護(hù)的資產(chǎn),您可以在公網(wǎng)資產(chǎn)列表右上角單擊同步資產(chǎn),同步當(dāng)前阿里云賬號及其成員賬號的資產(chǎn)信息。資產(chǎn)同步預(yù)計需要1~2分鐘。
單個開啟保護(hù)
在公網(wǎng)資產(chǎn)列表中找到需要開啟保護(hù)的公網(wǎng)資產(chǎn),在操作列單擊開啟保護(hù)。
批量開啟保護(hù)
在公網(wǎng)資產(chǎn)列表中選中多個需要開啟保護(hù)的公網(wǎng)資產(chǎn),在列表下方單擊開啟保護(hù)。
您也可以在數(shù)據(jù)統(tǒng)計區(qū)域單擊開啟保護(hù),根據(jù)公網(wǎng)IP、地域和資產(chǎn)類型維度,一鍵開啟所有公網(wǎng)資產(chǎn)的互聯(lián)網(wǎng)邊界保護(hù)。
開啟新增資產(chǎn)自動保護(hù)
開啟新增資產(chǎn)自動保護(hù)后,當(dāng)前阿里云賬號及其成員賬號下如果有新增的公網(wǎng)資產(chǎn),云防火墻將自動開啟新增資產(chǎn)的互聯(lián)網(wǎng)邊界保護(hù)。
登錄云防火墻控制臺。
在左側(cè)導(dǎo)航欄,單擊防火墻開關(guān)。
在互聯(lián)網(wǎng)邊界防火墻頁簽,開啟新增資產(chǎn)自動保護(hù)開關(guān)。
后續(xù)步驟
創(chuàng)建互聯(lián)網(wǎng)邊界防火墻后,您可以為互聯(lián)網(wǎng)邊界防火墻設(shè)置訪問控制策略、查看公網(wǎng)資產(chǎn)訪問日志等,以便您更好地管控公網(wǎng)資產(chǎn)和互聯(lián)網(wǎng)之間的流量訪問。
配置訪問控制策略
如果您未配置任何訪問控制策略,云防火墻默認(rèn)放行流量。您可以創(chuàng)建互聯(lián)網(wǎng)邊界訪問控制策略,精細(xì)化管控公網(wǎng)資產(chǎn)訪問互聯(lián)網(wǎng)的流量。
在頁面,定位到目標(biāo)互聯(lián)網(wǎng)邊界防火墻的操作列,單擊配置策略,選擇配置該公網(wǎng)資產(chǎn)的出向或者入向訪問控制策略。具體操作,請參見配置互聯(lián)網(wǎng)邊界訪問控制策略。
查詢審計日志
在頁面的頁簽,設(shè)置篩選條件,查看公網(wǎng)資產(chǎn)和互聯(lián)網(wǎng)的訪問日志。更多信息,請參見日志審計。
查看流量分析
在頁面,查看業(yè)務(wù)資產(chǎn)主動訪問互聯(lián)網(wǎng)的流量數(shù)據(jù),包括出方向異常流量溯源、資產(chǎn)訪問的互聯(lián)網(wǎng)目的地址、公網(wǎng)資產(chǎn)主動外聯(lián)、私網(wǎng)資產(chǎn)主動外聯(lián)等數(shù)據(jù),幫助您排查可疑資產(chǎn),保障業(yè)務(wù)安全。更多信息,請參見主動外聯(lián)。
在頁面,查看互聯(lián)網(wǎng)訪問業(yè)務(wù)資產(chǎn)的情況,包括入方向異常流量溯源、業(yè)務(wù)資產(chǎn)開放公網(wǎng)IP、開放端口、開放應(yīng)用、云產(chǎn)品的公網(wǎng)IP數(shù)量等數(shù)據(jù),幫助您排查可疑資產(chǎn),保障業(yè)務(wù)安全。更多信息,請參見公網(wǎng)暴露。
查看攻擊防護(hù)數(shù)據(jù)
在頁面,定位到目標(biāo)互聯(lián)網(wǎng)邊界防火墻的操作列,單擊查看攻擊,選擇查看公網(wǎng)資產(chǎn)出向或者入向的攻擊防護(hù)數(shù)據(jù)。具體信息,請參見入侵防御。
查看公網(wǎng)流量處理情況
在左側(cè)導(dǎo)航欄,單擊總覽,然后在總覽頁面右上角單擊已購規(guī)格用量,查看公網(wǎng)流量的處理能力、近期流量峰值、公網(wǎng)IP防護(hù)授權(quán)數(shù)使用情況。
更多操作
下發(fā)安全組默認(rèn)放通策略
互聯(lián)網(wǎng)邊界防火墻防護(hù)的是互聯(lián)網(wǎng)方向的流量方向,因此您需要確認(rèn)防護(hù)的公網(wǎng)資產(chǎn)已放行互聯(lián)網(wǎng)方向的流量,具體信息,請參考公網(wǎng)資產(chǎn)對應(yīng)的官網(wǎng)文檔。
防護(hù)ECS資產(chǎn)(包括ECS公網(wǎng)IP和ECS EIP)時,您可以在云防火墻控制臺一鍵下發(fā)互聯(lián)網(wǎng)方向的默認(rèn)放行策略,方便您通過云防火墻統(tǒng)一管理規(guī)則,無需前往ECS管理控制臺修改安全組的配置。
功能原理
云防火墻通過給ECS資產(chǎn)關(guān)聯(lián)的安全組下發(fā)4個優(yōu)先級最低(優(yōu)先級為100)的規(guī)則,放行ECS資產(chǎn)在互聯(lián)網(wǎng)方向的訪問。
對于相同優(yōu)先級的規(guī)則,ECS安全組會優(yōu)先匹配拒絕規(guī)則。因此,如果您原來配置了優(yōu)先級為100的拒絕規(guī)則,云防火墻下發(fā)的放行策略不會使您之前配置的拒絕規(guī)則失效。
注意事項
一鍵下發(fā)的安全組默認(rèn)放通策略,會對關(guān)聯(lián)到該安全組的所有資源生效,在下發(fā)前,建議為安全組關(guān)聯(lián)的所有資源開啟云防火墻保護(hù),并且合理配置互聯(lián)網(wǎng)邊界的入方向訪問控制策略,否則會存在公網(wǎng)暴露的風(fēng)險。
對于未開啟云防火墻開關(guān)的資源,不建議下發(fā)默認(rèn)放通策略;對于已放通的資源,不建議關(guān)閉云防火墻的防護(hù)開關(guān)。
云防火墻服務(wù)到期后,通過云防火墻自動新增的4個放通策略還會保留在安全組中,并處于生效狀態(tài)。如果您不再使用云防火墻服務(wù),建議您手動刪除云防火墻下發(fā)的4條默認(rèn)放通策略。具體操作,請參見刪除安全組規(guī)則。
使用限制
下發(fā)安全組默認(rèn)放通策略功能只支持ECS公網(wǎng)IP和ECS EIP的入方向規(guī)則。
企業(yè)級安全組不支持下發(fā)安全組默認(rèn)放通策略。
下發(fā)放通策略
登錄云防火墻控制臺。
在左側(cè)導(dǎo)航欄,單擊防火墻開關(guān)。
在互聯(lián)網(wǎng)邊界防火墻頁簽,單擊IPv4或IPv6頁簽。
在公網(wǎng)資產(chǎn)列表找到需要放通默認(rèn)策略的ECS資產(chǎn),在安全組默認(rèn)放行策略列單擊下發(fā)。
(可選)如果當(dāng)前安全組中的規(guī)則與待下發(fā)的規(guī)則沖突,您需要先完成策略調(diào)整。
配置沖突可調(diào)整:安全組中的規(guī)則與待下發(fā)規(guī)則的優(yōu)先級相同,但協(xié)議類型、端口范圍和授權(quán)對象不同。
您可以在安全組默認(rèn)放行策略對話框,單擊一鍵調(diào)整,通過將安全組原有的規(guī)則優(yōu)先級調(diào)高,解決沖突。
配置沖突不可調(diào)整:安全組中的規(guī)則與待下發(fā)規(guī)則的優(yōu)先級、協(xié)議類型、端口范圍、授權(quán)對象均相同。
建議您前往ECS管理控制臺的安全組頁面查看和調(diào)整沖突的規(guī)則優(yōu)先級,具體操作,請參見修改安全組規(guī)則。或者提交工單,聯(lián)系產(chǎn)品技術(shù)專家進(jìn)行咨詢。
在安全組對應(yīng)的操作列,單擊一鍵下發(fā),查看待下發(fā)的4個放通策略,然后單擊確定。
如果ECS關(guān)聯(lián)了多個安全組,您可以分別為所有關(guān)聯(lián)的安全組下發(fā)放通策略,該ECS的默認(rèn)放通策略才會生效。
安全組放通配置完成后,您可以在頁面查看安全組默認(rèn)放通策略的下發(fā)狀態(tài),確定策略是否已成功下發(fā),及時排查未成功下發(fā)的問題。
安全組策略下發(fā)狀態(tài)包含:
已下發(fā):ECS資產(chǎn)關(guān)聯(lián)的所有安全組均已下發(fā)了默認(rèn)放通策略;
未下發(fā):ECS資產(chǎn)關(guān)聯(lián)的全部安全組或部分安全組還未下發(fā)默認(rèn)放通策略,或者存在配置沖突。
-:該資產(chǎn)類型不支持一鍵下發(fā)默認(rèn)放通策略。
下載公網(wǎng)資產(chǎn)列表
您可以將公網(wǎng)資產(chǎn)列表的資產(chǎn)信息以CSV文件形式下載到本地。
登錄云防火墻控制臺。
在左側(cè)導(dǎo)航欄,單擊防火墻開關(guān)。
在互聯(lián)網(wǎng)邊界防火墻頁簽,單擊IPv4或IPv6頁簽。
在公網(wǎng)資產(chǎn)列表右上角,單擊
圖標(biāo)。在互聯(lián)網(wǎng)邊界防火墻頁簽的右上角,單擊下載任務(wù)管理,查看任務(wù)下載進(jìn)展。任務(wù)下載完成后,在操作列,單擊下載。
關(guān)閉互聯(lián)網(wǎng)邊界保護(hù)
關(guān)閉公網(wǎng)資產(chǎn)互聯(lián)網(wǎng)邊界保護(hù)后,云防火墻將無法管控該公網(wǎng)資產(chǎn)的流量,可能會導(dǎo)致該公網(wǎng)資產(chǎn)遭受惡意攻擊、數(shù)據(jù)泄露等風(fēng)險。請謹(jǐn)慎操作。
登錄云防火墻控制臺。
在左側(cè)導(dǎo)航欄,單擊防火墻開關(guān)。
在互聯(lián)網(wǎng)邊界防火墻頁簽,單擊IPv4或IPv6頁簽,在公網(wǎng)資產(chǎn)列表中找到需要開啟保護(hù)的公網(wǎng)資產(chǎn),在操作列單擊關(guān)閉保護(hù)。