您可以使用互連網邊界防火牆,精細化管控業務公網資產出入互連網的訪問流量,減少公網資產在互連網的暴露面,降低業務流量的安全風險。開通互連網邊界防火牆時,您無需更改當前網路拓撲,可以將資源一鍵秒級接入保護,快速實現對互連網出入流量的可視化分析、攻擊防護、存取控制、日誌審計等。
您可以通過視頻指導,快速瞭解如何開啟資產保護。
功能介紹
防護原理
公網資產開啟互連網邊界防火牆後,Cloud Firewall會基於DPI流量分析、IPS入侵防禦規則、威脅情報、虛擬補丁、存取控制策略等,對出向和入向流量進行過濾,判斷流量是否滿足允許存取條件,有效攔截非法的訪問流量,保障公網資產與互連網之間的流量安全。
防護的公網資產範圍(出向+入向):ECS公網IP、ECS EIP、CLB公網IP、CLB EIP、ALB EIP、NLB EIP、EIP(含L2 EIP)、ENI EIP、NAT EIP、HaVip EIP、GA EIP、BastionhostIP資產等。
其中,GA EIP有以下限制:
該加速IP所屬GA執行個體必須為標準型執行個體。
加速IP類型必須為Elastic IP Address類型。
該加速IP所屬加速地區不能為阿里雲POP點。
查看加速地區是否為阿里雲POP點,請參見ListAvailableBusiRegions。
互連網邊界防火牆的防護情境樣本如下圖所示:
對業務的影響
建立、開啟及關閉互連網邊界防火牆時,您無需更改當前的網路拓撲,可以將資源一鍵秒級接入保護或關閉保護,對業務無影響。建議您在業務低峰期開啟互連網邊界防火牆。
防護規格
互連網邊界防火牆的防護規格分為可防護的公網IP數量和公網流量處理能力。
防護規格 | 說明 | Cloud Firewall訂用帳戶版(進階版、企業版、旗艦版) | Cloud Firewall按量版 |
可防護公網IP數 | 可開啟互連網邊界防火牆開關的公網IP數量。 | 取決於您購買的可防護公網IP數量和可處理的總流量峰值。如果配額不足,您可以升級規格。具體操作,請參見查看資產的防護情況。 不同Cloud Firewall版本擁有不同的公網IP配額限制,具體內容,請參見訂用帳戶。 | 根據實際開啟防護的公網IP數和處理的總流量峰值計費,不存在配額限制。詳細計費內容,請參見隨用隨付。 |
公網流量處理能力 | 處理的互連網總流量峰值,計費標準為互連網出向或入向流量頻寬取最高值。 |
查看資產的防護情況
Cloud Firewall會為您統計當前已開啟保護的公網IP數、未開啟保護的公網IP數、不同地區公網IP的保護情況等資料,您可以根據實際需求,為公網資產開啟防護。
為了保證業務流量安全,建議您開啟阿里雲帳號下所有公網資產的互連網邊界保護。
在左側導覽列,單擊防火牆開關。
在互聯網邊界防火牆頁簽,查看當前阿里雲帳號的公網資產防護情況。
(可選)如果當前的可用授权不足,您可以單擊规格升级,根據實際需求升級Cloud Firewall版本、擴充可防护公网IP数和頻寬規格等。更多資訊,請參見訂用帳戶。
開啟防火牆開關
一鍵開啟資產保護
如果沒有開啟新增资产自动保护,您可以手動為公網資產開啟互連網邊界保護。
在左側導覽列,單擊防火牆開關。
在互聯網邊界防火牆頁簽,單擊IPv4或IPv6頁簽,手動開啟公網資產保護。
如果在公網資產列表中沒有需要開啟保護的資產,您可以在公網資產列表右上方單擊同步資產,同步當前阿里雲帳號及其成員帳號的資產資訊。資產同步預計需要1~2分鐘。
單個開啟保護
在公網資產列表中找到需要開啟保護的公網資產,在操作列單擊開啟保護。
批量開啟保護
在公網資產列表中選中多個需要開啟保護的公網資產,在列表下方單擊開啟保護。
您也可以在資料統計地區單擊開啟保護,根據公網IP、地區和資產類型維度,一鍵開啟所有公網資產的互連網邊界保護。
開啟新增資產自動保護
開啟新增资产自动保护後,當前阿里雲帳號及其成員帳號下如果有新增的公網資產,Cloud Firewall將自動開啟新增資產的互連網邊界保護。
在左側導覽列,單擊防火牆開關。
在互聯網邊界防火牆頁簽,開啟新增资产自动保护開關。
後續步驟
建立互連網邊界防火牆後,您可以為互連網邊界防火牆設定存取控制策略、查看公網資產訪問日誌等,以便您更好地管控公網資產和互連網之間的流量訪問。
配置存取控制策略
如果您未配置任何存取控制策略,Cloud Firewall預設允許存取流量。您可以建立互連網邊界存取控制策略,精細化管控公網資產訪問互連網的流量。
在頁面,定位到目標互連網邊界防火牆的操作列,單擊配置策略,選擇配置該公網資產的出向或者入向存取控制策略。具體操作,請參見配置互連網邊界存取控制策略。
查詢審計日誌
在頁面的頁簽,設定篩選條件,查看公網資產和互連網的訪問日誌。更多資訊,請參見日誌審計。
查看流量分析
查看攻擊防護資料
在頁面,定位到目標互連網邊界防火牆的操作列,單擊查看攻擊,選擇查看公網資產出向或者入向的攻擊防護資料。具體資訊,請參見入侵防禦。
查看公網流量處理情況
在左側導覽列,單擊概覽,然後在概覽頁面右上方單擊已購規格用量,查看公網流量的處理能力、近期流量峰值、公網IP防護授權數使用方式。
更多操作
下發安全性群組預設放通策略
互連網邊界防火牆防護的是互連網方向的流量方向,因此您需要確認防護的公網資產已允許存取互連網方向的流量,具體資訊,請參考公網資產對應的官網文檔。
防護ECS資產(包括ECS公網IP和ECS EIP)時,您可以在Cloud Firewall控制台一鍵下發互連網方向的預設允許存取策略,方便您通過Cloud Firewall統一管理規則,無需前往ECS管理主控台修改安全性群組的配置。
功能原理
Cloud Firewall通過給ECS資產關聯的安全性群組下發4個優先順序最低(優先順序為100)的規則,允許存取ECS資產在互連網方向的訪問。
對於相同優先順序的規則,ECS安全性群組會優先匹配拒絕規則。因此,如果您原來配置了優先順序為100的拒絕規則,Cloud Firewall下發的允許存取策略不會使您之前配置的拒絕規則失效。
注意事項
一鍵下發的安全性群組預設放通策略,會對關聯到該安全性群組的所有資源生效,在下發前,建議為安全性群組關聯的所有資源開啟Cloud Firewall保護,並且合理配置互連網邊界的入方向存取控制策略,否則會存在公網暴露的風險。
對於未開啟Cloud Firewall開關的資源,不建議下發預設放通策略;對於已放通的資源,不建議關閉Cloud Firewall的防護開關。
Cloud Firewall服務到期後,通過Cloud Firewall自動新增的4個放通策略還會保留在安全性群組中,並處於生效狀態。如果您不再使用Cloud Firewall服務,建議您手動刪除Cloud Firewall下發的4條預設放通策略。具體操作,請參見刪除安全性群組規則。
使用限制
下發安全性群組預設放通策略功能只支援ECS公網IP和ECS EIP的入方向規則。
企業級安全性群組不支援下發安全性群組預設放通策略。
下發放通策略
在左側導覽列,單擊防火牆開關。
在互聯網邊界防火牆頁簽,單擊IPv4或IPv6頁簽。
在公網資產列表找到需要放通預設策略的ECS資產,在安全性群組預設放通策略列單擊下發。
(可選)如果當前安全性群組中的規則與待下發的規則衝突,您需要先完成策略調整。
在安全性群組對應的操作列,單擊一鍵下發,查看待下發的4個放通策略,然後單擊確定。
如果ECS關聯了多個安全性群組,您可以分別為所有關聯的安全性群組下發放通策略,該ECS的預設放通策略才會生效。
安全性群組放通配置完成後,您可以在頁面查看安全性群組預設放通策略的下髮狀態,確定策略是否已成功下發,及時排查未成功下發的問題。
安全性群組策略下髮狀態包含:
已下發:ECS資產關聯的所有安全性群組均已下發了預設放通策略;
未下發:ECS資產關聯的全部安全性群組或部分安全性群組還未下發預設放通策略,或者存在配置衝突。
-:該資產類型不支援一鍵下發預設放通策略。
下載公網資產列表
您可以將公網資產列表的資產資訊以CSV檔案形式下載到本地。
在左側導覽列,單擊防火牆開關。
在互聯網邊界防火牆頁簽,單擊IPv4或IPv6頁簽。
在公網資產列表右上方,單擊
表徵圖。在互聯網邊界防火牆頁簽的右上方,單擊下载任务管理,查看任務下載進展。任務下載完成後,在操作列,單擊下载。