通過容器防火牆管控容器環境內訪問的網路隔離 - Security Center

容器防火牆是Security Center為容器環境提供的防火牆服務。當駭客利用漏洞或惡意鏡像入侵容器叢集時，容器防火牆會對容器的異常行為進行警示或攔截。

版本限制

僅Security Center的旗艦版支援該功能，其他版本不支援。購買和升級Security Center服務的具體操作，請參見購買Security Center和升級與降配。

容器防火牆原理

容器防火牆通過將容器中應用的命名空間、應用程式名稱、鏡像以及標籤等資訊整合為網路對象，作為區別容器應用的標籤資訊。然後基於容器應用的網路對象，為容器應用建立網路訪問的攔截規則，檢測和攔截異常訪問流量。

說明

如果叢集的可攔截狀態為異常，是無法成功開啟叢集防禦狀態的，防禦規則也不會生效。您需要及時處理叢集的異常狀態，詳細內容，請參見叢集防禦規則可攔截狀態異常排查。

支援的作業系統版本

叢集防禦規則的正常運行依賴於惡意網路行為防禦的AliNet外掛程式（AliNet外掛程式主要用於網路連接攔截、DNS攔截、暴力破解攔截等），使用容器防火牆功能前，請確保您的叢集節點的系統核心版本在AliNet外掛程式支援的部分系統核心版本範圍內。如果叢集節點的系統核心版本不在AliNet外掛程式支援的部分系統核心版本範圍內，會導致叢集防禦規則無法生效。容器防火牆功能支援的系統核心版本如下：

作業系統類型	核心版本號碼
CentOS	3.10.0系列 3.10.0-123.9.3.el7.x86_64 3.10.0-229.el7.x86_64 3.10.0-229.14.1.el7.x86_64 3.10.0-327.el7.x86_64 3.10.0-327.10.1.el7.x86_64 3.10.0-327.13.1.el7.x86_64 3.10.0-327.18.2.el7.x86_64 3.10.0-327.22.2.el7.x86_64 3.10.0-327.36.3.el7.x86_64 3.10.0-514.el7.x86_64 3.10.0-514.2.2.el7.x86_64 3.10.0-514.6.1.el7.x86_64 3.10.0-514.6.2.el7.x86_64 3.10.0-514.10.2.el7.x86_64 3.10.0-514.16.1.el7.x86_64 3.10.0-514.21.1.el7.x86_64 3.10.0-514.21.2.el7.x86_64 3.10.0-514.26.2.el7.x86_64 3.10.0-693.el7.x86_64 3.10.0-693.2.2.el7.x86_64 3.10.0-693.5.2.el7.x86_64 3.10.0-693.11.1.el7.x86_64 3.10.0-693.11.6.el7.x86_64 3.10.0-693.17.1.el7.x86_64 3.10.0-693.21.1.el7.x86_64 3.10.0-862.el7.x86_64 3.10.0-862.2.3.el7.x86_64 3.10.0-862.3.2.el7.x86_64 3.10.0-862.3.3.el7.x86_64 3.10.0-862.6.3.el7.x86_64 3.10.0-862.9.1.el7.x86_64 3.10.0-862.11.6.el7.x86_64 3.10.0-862.14.4.el7.x86_64 3.10.0-957.el7.x86_64 3.10.0-957.1.3.el7.x86_64 3.10.0-957.5.1.el7.x86_64 3.10.0-957.10.1.el7.x86_64 3.10.0-957.12.1.el7.x86_64 3.10.0-957.12.2.el7.x86_64 3.10.0-957.21.2.el7.x86_64 3.10.0-957.21.3.el7.x86_64 3.10.0-957.27.2.el7.x86_64 3.10.0-1062.el7.x86_64 3.10.0-1062.1.1.el7.x86_64 3.10.0-1062.1.2.el7.x86_64 3.10.0-1062.4.1.el7.x86_64 3.10.0-1062.4.2.el7.x86_64 3.10.0-1062.4.3.el7.x86_64 3.10.0-1062.7.1.el7.x86_64 3.10.0-1062.9.1.el7.x86_64 3.10.0-1062.12.1.el7.x86_64 3.10.0-1062.18.1.el7.x86_64 3.10.0-1127.el7.x86_64 3.10.0-1127.8.2.el7.x86_64 3.10.0-1127.10.1.el7.x86_64 3.10.0-1127.13.1.el7.x86_64 3.10.0-1127.18.2.el7.x86_64 3.10.0-1127.19.1.el7.x86_64 3.10.0-1160.el7.x86_64 3.10.0-1160.2.2.el7.x86_64 3.10.0-1160.6.1.el7.x86_64 3.10.0-1160.11.1.el7.x86_64 3.10.0-1160.15.2.el7.x86_64 3.10.0-1160.21.1.el7.x86_64 3.10.0-1160.24.1.el7.x86_64 3.10.0-1160.25.1.el7.x86_64 3.10.0-1160.31.1.el7.x86_64 3.10.0-1160.36.2.el7.x86_64 3.10.0-1160.41.1.el7.x86_64 3.10.0-1160.42.2.el7.x86_64 3.10.0-1160.45.1.el7.x86_64 3.10.0-1160.49.1.el7.x86_64 3.10.0-1160.53.1.el7.x86_64 3.10.0-1160.59.1.el7.x86_64 3.10.0-1160.62.1.el7.x86_64 3.10.0-1160.66.1.el7.x86_64 3.10.0-1160.71.1.el7.x86_64 3.10.0-1160.76.1.el7.x86_64 3.10.0-1160.80.1.el7.x86_64 3.10.0-1160.81.1.el7.x86_64 3.10.0-1160.83.1.el7.x86_64 3.10.0-1160.88.1.el7.x86_64 4.19.X系列 4.19.12-1.el7.elrepo.x86_64 4.19.94-300.el7.x86_64 4.19.104-300.el7.x86_64 4.19.113-300.el7.x86_64
Alibaba Cloud Linux（64位）	3.10.0系列 3.10.0-957.27.2.al7.1.x86_64 3.10.0-1062.12.1.al7.1.x86_64 3.10.0-1062.4.1.al7.1.x86_64 3.10.0-1160.al7.1.x86_64 3.10.0-1127.8.2.al7.1.x86_64 3.10.0-1127.13.1.al7.1.x86_64 3.10.0-1127.19.1.al7.1.x86_64 4.19.X系列 4.19.24-7.al7.x86_64 4.19.24-7.14.al7.x86_64 4.19.43-13.2.al7.x86_64 4.19.57-15.1.al7.x86_64 4.19.81-17.al7.x86_64 4.19.81-17.2.al7.x86_64 4.19.91-18.al7.x86_64 4.19.91-19.1.al7.x86_64 4.19.91-19.2.al7.x86_64 4.19.91-21.al7.x86_64 4.19.91-21.2.al7.x86_64 4.19.91-22.al7.x86_64 4.19.91-22.2.al7.x86_64 4.19.91-23.al7.x86_64 4.19.91-23.1.al7.x86_64 4.19.91-24.al7.x86_64 4.19.91-24.1.al7.x86_64 4.19.91-25.al7.x86_64 4.19.91-25.1.al7.x86_64 4.19.91-25.3.al7.x86_64 4.19.91-25.6.al7.x86_64 4.19.91-25.7.al7.x86_64 4.19.91-25.8.al7.x86_64 4.19.91-26.al7.x86_64 4.19.91-26.1.al7.x86_64 4.19.91-26.2.al7.x86_64 4.19.91-26.3.al7.x86_64 4.19.91-26.4.al7.x86_64 4.19.91-26.5.al7.x86_64 4.19.91-26.6.al7.x86_64 4.19.91-27.al7.x86_64 4.19.91-27.1.al7.x86_64

使用流程

容器防火牆的配置和使用如下：

新增網路對象：新增源網路對象和目的網路對象。
建立防禦規則：建立並開啟防禦規則。
防禦狀態與規則管理：開啟叢集防禦。
查看防護狀態：查看觸發防禦規則產生的警示事件。