本文介绍开启或关闭防火墙开关时可能遇到的问题,包括开启防火墙对业务的影响、开墙后的路由和流量变化等。
互联网边界防火墙
NAT边界防火墙
VPC边界防火墙
开启防火墙开关对业务有什么影响?
防火墙类型 | 对业务的影响 |
互联网边界防火墙 | 创建、开启及关闭互联网边界防火墙时,您无需更改当前的网络拓扑,可以将资源一键秒级接入保护或关闭保护,对业务无影响。 |
NAT边界防火墙 |
|
高速通道VPC边界防火墙 基础版转发路由器VPC边界防火墙 |
|
企业版转发路由器VPC边界防火墙 | 自动引流
手动引流
|
为什么当前账号无法开启云防火墙?
可能原因
登录云防火墙控制台时,页面提示当前账号无法开启云防火墙。可能原因如下:
当前账号为阿里云账号(主账号)且已被其他阿里云账号添加为成员账号进行统一管理。
当前账号为RAM用户(子账号)且未完成授权。
解决方案
您可以移动光标到控制台页面右上角的登录账号头像处,查看账号ID。
如果账号ID是以1开头的一串数字,表示该账号为阿里云账号(主账号)。
此时,您需要使用统一管理该账号的管理员账号登录云防火墙控制台,开通云防火墙服务后,为成员账号的云资产开启防护。具体操作,请参见购买云防火墙服务。
如果账号ID是以2开头的一串数字,表示该账号为RAM用户(子账号)。您需要使用该账号所属的阿里云账号(主账号)对该账号授予createSlr、AliyunYundunCloudFirewallReadOnlyAccess和AliyunYundunCloudFirewallFullAccess权限。授权的具体操作,请参见为RAM用户授权。
其中,createSlr是自定义权限策略,需要创建自定义权限策略,具体的脚本内容如下。具体操作,请参见创建自定义权限策略。
{ "Statement": [ { "Action": [ "ram:CreateServiceLinkedRole" ], "Resource": "acs:ram:*:166032244439****:role/*", "Effect": "Deny", "Condition": { "StringEquals": { "ram:ServiceName": [ "cloudfw.aliyuncs.com" ] } } } ], "Version": "1" }
说明Resource参数的格式为
acs:ram:*:阿里云账号(主账号)ID:role/*
。阿里云账号(主账号)ID填写为RAM用户(子账号)所属的主账号ID。
互联网边界防火墙的作用是什么?
互联网边界防火墙支持接入多种公网资产,例如ECS公网IP、SLB公网IP、EIP等。开启互联网边界防火墙后,系统将资产出入互联网边界的流量转发到云防火墙,云防火墙会对流量进行检测和过滤,只允许满足放行条件的流量通过。更多内容,请参见互联网边界防火墙。
互联网边界防火墙是否支持防护IPv6资产?
不支持。互联网边界防火墙支持防护的资产范围,请参见防护范围。
互联网边界防火墙是否会对网络流量产生影响?
如果仅开启互联网边界防火墙开关,未配置互联网边访问控制策略和入侵防御策略,云防火墙仅对流量进行检测和告警,不会进行拦截。
购买了云防火墙,互联网边界防火墙开关默认全部开启。
关闭互联网边界防火墙有什么影响?
关闭互联网边界防火墙,所有流量不会经过互联网边界防火墙,将会产生以下影响:
互联网边界防火墙的防护能力将会失效,包括互联网边界出入方向的访问控制策略、入侵防御等。
互联网边界流量数据统计不会更新,包括网络流量分析报表、流量日志等。
为什么开启互联网边界防火墙时提示SLB网络限制?
可能原因
在开启互联网边界防火墙时,控制台页面提示由于SLB所在网络限制,该IP所在网络不支持开启防火墙保护,可能是因为该SLB资产只有私网IP,不支持开启云防火墙保护。
解决方案
对于只有私网IP的资产,如果需要开启云防火墙防护,您可以通过绑定EIP,将流量牵引到云防火墙进行防护。具体操作,请参见私网CLB实例绑定和管理EIP。
免费版同步资产后,部分公网IP资产没有显示?
云防火墙免费版只能同步EIP资产,且新增资产需要T+1天才能同步到云防火墙。无法同步ECS公网IP、SLB公网IP。
开启VPC边界防火墙是否会影响ECS安全组规则?
不会。
开启VPC边界防火墙后,云防火墙会自动创建名为Cloud_Firewall_Security_Group的安全组和相应的放行策略,用于允许流量通过到VPC边界防火墙。Cloud_Firewall_Security_Group安全组仅对该VPC内的流量进行管控,您在之前创建的ECS安全组规则仍然有效,不会受到影响。因此,您无需迁移或修改ECS安全组规则。
创建VPC边界防火墙时,提示存在未授权的网络实例?
可能原因
云企业网中存在另一个阿里云账号下的专有网络VPC,并且该阿里云账号未授权云防火墙访问云资源。
解决方案
您通过未授权的阿里云账号登录云防火墙控制台,根据页面提示完成云防火墙服务角色授权。具体操作,请参见授权云防火墙访问云资源。
基础版转发路由器场景,开启VPC边界防火墙后多了一条拒绝路由策略?
通过基础版转发路由器连接的VPC(假设为VPC-test)开启VPC边界防火墙后,云防火墙会在该基础版转发路由器下创建一个名为Cloud_Firewall_VPC的VPC,并发布静态路由,用于将该基础版转发路由器下未开墙的VPC流量引入到云防火墙。
同时,云防火墙会在VPC-test内添加一条指向云防火墙ENI的静态路由,将VPC-test出方向的流量引入到云防火墙;并且创建一条拒绝路由策略,使得VPC-test不再学习云企业网发布的路由。
请勿修改和删除上述的路由策略和路由表,否则会影响云防火墙引流,导致业务流量不通。
NAT边界防火墙为什么需要创建路由表和下发0.0.0.0/0静态路由?
开启NAT边界防火墙后,云防火墙会自动创建一个名为Cloud_Firewall_ROUTE_TABLE的自定义路由表,并添加路由0.0.0.0/0指向NAT网关,同时会修改系统路由表中的0.0.0.0/0路由条目,将其下一跳将指向云防火墙ENI,目的是将NAT网关出方向的流量引流到云防火墙。
请勿修改或删除上述的路由表和路由条目,否则会影响云防火墙引流,导致业务流量不通。
同时开启互联网边界、NAT边界和DNS边界防火墙,出方向的流量如何匹配?
同时开启互联网边界、NAT边界和DNS边界防火墙,当ECS发起域名访问(出方向流量)时,流量匹配如下:
ECS发起DNS解析请求,解析请求会经过DNS边界防火墙,匹配DNS边界防火墙的访问控制策略。
ECS发起的私网流量经过NAT边界防火墙,匹配NAT边界防火墙的访问控制策略。
允许放行的私网流量经过NAT网关,由NAT网关将私网源IP转换成NAT公网IP。
NAT网关发送公网流量到互联网边界防火墙,匹配互联网边界防火墙的访问控制策略。
流量匹配云防火墙的威胁情报、基础防御、智能防御和虚拟补丁规则。
如果在上述过程中,流量未命中任何一个拒绝策略,则该流量成功访问域名;如果该过程流量命中任何一个拒绝策略时,流量会被拒绝,将无法访问域名。
如何高效开启和配置云防火墙互联网边界访问控制策略?
云计算已成为企业数字化转型的必然选择,更广泛的云技术方案构成了更复杂的业务架构,安全边界变得更加模糊。企业可通过云防火墙构建云上网络边界防护能力,但是如果互联网IP数量多,需要设置的访问控制策略会很复杂。
云防火墙提供了AI智能策略,可以自动学习近30日的流量情况、以及云上IP资产、服务被访问和主动外联的情况,为每个目的IP或域名自动建议合适的互联网边界访问控制策略,缩小资产在互联网中的暴露面,阻断内到外的恶意IP和域名,降低业务入侵风险。
关于如何下发互联网边界防火墙的智能访问控制策略,请参见配置互联网边界访问控制策略。