本文介紹購買Cloud Firewall前的常見問題解決方案。
功能特性相關
按量付費版相關
防護範圍相關
與其他雲產品的關係
為什麼使用Cloud Firewall需要授予服務關聯角色(AliyunServiceRoleForCloudFW)?
您授權Cloud Firewall訪問當前阿里雲帳號下的雲資產,例如Elastic Compute Service(Elastic Compute Service)執行個體列表、Virtual Private Cloud(Virtual Private Cloud)執行個體列表、Server Load Balancer(Server Load Balancer)執行個體列表等,才能在Cloud Firewall控制台看到雲資產的流量請求和響應情況,以及雲資產之間的私網業務訪問情況,並根據這些資料的分析結果配置存取控制策略。
您只有使用阿里雲帳號或擁有管理存取控制許可權(AliyunRAMFullAccess)的RAM使用者身份,才能授權Cloud Firewall訪問雲資源。
如何關閉Cloud Firewall按量版?
登入Cloud Firewall控制台。在概覽頁面右上方,單擊。詳細資料您可以參考釋放執行個體指引。
為什麼關閉Cloud Firewall隨用隨付版後還在計費?
Cloud Firewall隨用隨付版以天為單位計費,次日統計前一天的費用並從賬戶中扣除相應費用。即當日關閉的Cloud Firewall按量版,次日還會推送一次賬單。更多資訊,請參見隨用隨付。
如何查看Cloud Firewall隨用隨付流量使用明細?
登入Cloud Firewall控制台。在左側導覽列選擇,查看流量使用明細。
Cloud Firewall隨用隨付版怎麼收費?
Cloud Firewall隨用隨付版按照實際用量結算,最小粒度為小時,次日統計前一天的費用並從賬戶中扣除相應費用。Cloud Firewall隨用隨付版的費用計算公式:每日賬單費用=每日產生的公網IP配置費+每日產生的流量處理費。更多資訊,請參見隨用隨付。
如果您購買了按量節省套餐包,會按照購買的折扣進行抵扣。
如何將Cloud Firewall訂用帳戶版轉隨用隨付版,有什麼影響?
您可以根據業務需要,將Cloud Firewall的計費模式由訂用帳戶模式平滑轉換為隨用隨付。
如何將Cloud Firewall隨用隨付版轉訂用帳戶版,有什麼影響?
您可以根據業務需要,將Cloud Firewall的計費模式由隨用隨付平滑轉換為訂用帳戶模式。
什麼是Cloud Firewall按量節省套餐,如何使用?
按量節省套餐包是Cloud Firewall推出的一種折扣權益計劃,您可以通過承諾在一定期限內消費一定的金額,來換取較低的隨用隨付折扣。您的承諾消費金額越大,享受的折扣越大,可節省更多成本。具體資訊和操作步驟,請參見按量節省套餐包。
Cloud Firewall按量版和訂用帳戶版有什麼區別?
Cloud Firewall是否支援防護L2 EIP?
支援。Cloud Firewall支援防護的資產範圍,請參見什麼是Cloud Firewall。
Cloud Firewall是否支援防護傳統網路?
僅支援傳統網路中存在公網IP的ECS執行個體和部分SLB。主機邊界防火牆支援防護VPC間的流量,不支援防護傳統網路。
Cloud Firewall是否支援對公網SLB的訪問?
阿里雲提供公網和私網兩種類型的負載平衡(SLB)服務。由於歷史網路架構的原因,部分公網SLB不支援Cloud Firewall引流,推薦您採用私網SLB加EIP的方案,將流量牽引到Cloud Firewall上進行防護。
採用Cloud Firewall後,資料從Cloud Firewall流入DNAT(EIP),再流入私網SLB。
Cloud Firewall是否支援對Express Connect(專線VBR)和雲企業網的存取控制?
支援。具體說明如下:
Express Connect情境下,目前只支援同地區VPC和VPC互訪的防護,不支援VPC和VBR互訪的防護。
雲企業網情境下,支援VPC和VPC、VPC和VBR之間互訪的防護。
如果需要Cloud Firewall防護跨地區的VPC間互訪或者VPC和VBR互訪的流量,您需要將Express Connect對等串連的Virtual Private Cloud遷移至雲企業網。
Cloud Firewall是否有抗APT攻擊的能力?
有。Cloud Firewall通過存取控制、失陷感知、入侵防禦(IPS)、日誌溯源等多種手段,構建了一套完整的APT攻擊防禦體系。
互連網邊界防火牆是否支援防護訪問公網VPN的流量?
不支援。如果您從互連網訪問公網VPN,該流量會被VPN加密,互連網邊界防火牆無法對加密流量進行檢測防護。
VPC邊界防火牆是否支援防護通過IPsec-VPN訪問VPC的流量?
首先需要明確您的網路部署情況,VPC邊界防火牆是否支援防護分以下三種情況:
第一種:如果您的網路中IPsec-VPN通過綁定Cloud Enterprise Network轉寄路由器的方式部署,將IPsec-VPN與業務VPC的網路打通。這種情況下VPC邊界防火牆支援防護。
例如網路部署如下,VPC邊界防火牆支援防護企業辦公網與業務VPC之間的流量。
第二種:如果您的網路中IPsec-VPN通過綁定VPN網關的方式部署在業務VPC內,且業務中存在跨VPC訪問的流量(CEN、VPC對等串連)。這種情況下,Cloud Firewall支援防護跨業務VPC訪問的流量。
例如網路部署如下,VPC邊界防火牆不支援防護企業辦公網到IPsec-VPN所在VPC之間的流量,但是支援企業辦公網與其他業務VPC(與IPsec-VPN所在VPC網路打通的其他VPC)之間的流量。
如果您的業務必須防護通過IPsec-VPN訪問其他業務VPC的流量,可以對網路進行改造,將IPsec-VPN部署到一個單獨的VPC上,這樣Cloud Firewall就可以防護IPsec-VPN所在VPC到其他業務VPC的流量。
第三種:如果您的網路中IPsec-VPN通過綁定VPN網關的方式部署在業務VPC內,業務中不存在跨VPC訪問的流量。這種情況下VPC邊界防火牆不支援防護。
例如網路部署如下,VPC邊界防火牆不支援防護企業辦公網與業務VPC之間的流量。
互連網邊界防火牆在阿里雲網路中的位置是什嗎?
位於互連網邊界,介於公網和雲上資產之間。
防護來自互連網的攻擊。
控制雲資產對外部網路的主動外聯行為。
下圖展示了部分阿里雲產品(包括Cloud Firewall)的邏輯關係。
同時使用DDoS、WAF、Cloud Firewall,業務流量如何走向?
同時使用了DDoS、WAF(CNAME接入)、Cloud Firewall,則業務的流量走向為:
DDoS->WAF->Cloud Firewall->後台服務
同時使用了DDoS、WAF(雲產品接入)、Cloud Firewall,則業務的流量走向為:
DDoS->Cloud Firewall->WAF->後台服務
Cloud Firewall最多支援幾個跨帳號部署?
Cloud Firewall進階版、企業版、旗艦版支援統一帳號管理功能(即跨帳號部署)。關於各版本支援的管控數,請參見計費說明。如果您需要添加更多的成員帳號,需要升級Cloud Firewall規格,擴充多帳號管控數。具體操作,請參見升級和降配。
Cloud Firewall支援公網SLB主要覆蓋哪些防護情境?
Cloud Firewall現已全面支援新一代公網SLB架構,提供全面的雲端公網SLB防護。如果您已購買阿里雲防火牆產品,可登入Cloud Firewall控制台開啟防護開關,提升整體網路安全能力。此外,Cloud Firewall為公網SLB架構的互連網訪問提供入侵防禦和存取控制:
入侵防禦(IPS):提供快速部署的虛擬補丁,防護0-day和其他突發高風險漏洞,無需重啟或安裝補丁即可阻止利用漏洞的駭客攻擊。
存取控制:實施細緻的互連網訪問管控,支援HTTP和HTTPS等應用,同時提供特定IP、連接埠和協議的限制,特別是TCP業務的存取控制,並能限定訪問來源區域,如只允許來自特定地區的訪問,確保業務運行更加可靠和安全。
相比客戶自建防火牆,阿里雲Cloud Firewall有哪些優勢?
阿里雲Cloud Firewall提供了一個易於操作且即開即用的解決方案,它能統一管理南北向和東西向的網路流量,全方位確保雲上網路的安全。相比於自建防火牆,阿里雲Cloud Firewall有以下優勢:
託管服務:自建防火牆通常需隨VPC數量增加額外授權,且依賴複雜路由配置,易引入網路故障點和管理負擔。Cloud Firewall由阿里雲託管提供,無需部署任何裝置。通過在控制台簡單的設定,秒級接入,降低營運成本。
高可用和彈性擴充:自建防火牆高可用與效能強依賴於虛擬設備,Cloud Firewall採用了雙可用性區域叢集部署的模式,支援效能的平滑擴充,無需關注高可用、擴容或接入等問題。
雲端服務深度整合:Cloud Firewall原生整合阿里雲各類網路服務(如VPC、CEN、EIP、SLB等),直接管控雲資產訪問,聯動終端安全能力,解決對雲資產的異常訪問問題。
入侵防禦和威脅情報:Cloud Firewall內建威脅檢測引擎,可同步更新全網威脅情報,對超過500萬的活躍惡意IP與網域名稱條目進行監控,實現對來自互連網的威脅進行即時檢測和阻斷。
Cloud Firewall互連網邊界核心防禦功能有哪些?
互連網邊界防火牆檢測互連網和雲上公網IP資產間的通訊流量。開通Cloud Firewall服務後,可以為您提供以下防禦功能:
盤點資產:分析資產入向和出向流量,包括開放應用、連接埠、公網IP及訪問的雲產品資訊。
防護入侵:對互連網上的惡意流量入侵活動和常規攻擊行為進行即時檢測和攔截,結合威脅情報,智能阻斷攻擊行為。
封鎖網域名稱:開啟防火牆後,即時分析主機外聯資料,發現可疑主機,並通過網域名稱/IP存取控制封鎖公網訪問。
抵擋漏洞:針對高危遠程漏洞,提供虛擬補丁,在無法安裝補丁時實現自動化防禦。
如何通過Web Application Firewall和Cloud Firewall,有效管理互連網暴露面?
狹義的互連網暴露面是暴露在互連網的已知或未知資產,包括但不限於IP、連接埠、網域名稱、應用、API介面等,企業接入網路的資產數量快速增長,互連網暴露面的風險增加,而互連網暴露面越多越大,企業面臨的威脅就越大,有效管理互連網暴露面是安全營運和管理工作的基本要求。
業務應用資產的管理:各類業務系統平台逐年增多,可能存在員工自建網站,測試環境或API未及時回收等情況。這些資產可能使用了低版本的開源系統、組件、Web架構,開放了超過業務需求的存取權限,攻擊者可以利用這些資產作為“跳板”繞過企業的網路邊界防護。Web Application Firewall資產識別通過擷取阿里雲認證、雲解析、Web Application Firewall、萬網等產品的配置資訊,結合巨量資料關聯分析能力,提供全域資產視角,避免在安全防護中出現資產疏漏,提高整體安全防護水位線。
網絡資產的管理:企業業務的高速發展,雲上IP數量逐年增多。由於疏於管理,這些IP可能開放了超過業務需求的連接埠和服務。Cloud Firewall協助檢測互連網和雲上公網IP資產間的通訊流量,關閉不必要的IP、連接埠暴露,通過配置存取控制策略,對互連網訪問進行精細化的存取控制。
為什麼使用CEN-TR的客戶,有著相對更強的Cloud Firewall需求?
隨著企業採用多VPC架構實現跨地區組網和混合雲串連,CEN-TR(企業版轉寄路由器)使用者面臨更複雜的網路安全管理需求。
多業務跨VPC、混合雲的網路管控需求:由於不同VPC的業務等級和安全等級不同,但是業務互訪需要將多VPC有條件的聯通,需防範橫向滲透攻擊。企業需要合理規劃和設計雲上跨VPC以及雲上VPC和雲下IDC的網路存取控制和防護策略。跨VPC網路安全管理、雲上VPC到雲下IDC邊界管控的複雜度與企業VPC數量、上雲業務規模等有著很大的關聯。CEN-TR擴大了支援的VPC數量,雲上東西向網路管理複雜度提升,客戶對雲上高效的東西向精細化管控需求更強。
合規需求:大型企業級客戶上雲,大多面臨等保、ISO27001等合規需求,對網路安全存取控制策略提出了要求,例如,等保雲端運算安全擴充提到應在不同等級的網路地區邊界部署存取控制機制,實現基於會話和應用的存取控制,這些要求需要Cloud Firewall企業版的東西向網路管控/防護能力。