本文介紹開啟或關閉防火牆開關時可能遇到的問題,包括開啟防火牆對業務的影響、開牆後的路由和流量變化等。
互連網邊界防火牆
NAT邊界防火牆
VPC邊界防火牆
開啟防火牆開關對業務有什麼影響?
防火牆類型 | 對業務的影響 |
互連網邊界防火牆 | 建立、開啟及關閉互連網邊界防火牆時,您無需更改當前的網路拓撲,可以將資源一鍵秒級接入保護或關閉保護,對業務無影響。 |
NAT邊界防火牆 |
|
Express ConnectVPC邊界防火牆 基礎版轉寄路由器VPC邊界防火牆 |
|
企業版轉寄路由器VPC邊界防火牆 | 自動引流
手動引流
|
如何關閉Cloud Firewall?
當您評估業務不需要Cloud Firewall防護時,您可以釋放執行個體,以免產生額外的費用。
業務流量超出Cloud Firewall支援的頻寬規格怎麼辦?
如果您的業務流量超過已購Cloud Firewall流量處理規格,則不能保證產品SLA,可能觸發包括但不限於安全能力失效(ACL、IPS、日誌審計)、TOP超量資產關閉防火牆、限速丟包等超量降級規則。
若您的業務流量可能有超量風險,建議參考訂用帳戶彈性流量後付費。
排查異常流量的具體操作,請參見互連網邊界異常流量的排查指導。
擴充防護頻寬的具體操作,請參見續約說明。
為什麼當前帳號無法開啟Cloud Firewall?
可能原因
登入Cloud Firewall控制台時,頁面提示当前账号无法开启云防火墙。可能原因如下:
當前帳號為阿里雲帳號(主帳號)且已被其他阿里雲帳號添加為成員帳號進行統一管理。
當前帳號為RAM使用者(子帳號)且未完成授權。
解決方案
您可以移動游標到控制台頁面右上方的登入帳號頭像處,查看帳號類型。
如果該帳號為阿里雲帳號(主帳號)。
此時,您需要使用統一管理該帳號的管理員帳號登入Cloud Firewall控制台,開通Cloud Firewall服務後,為成員帳號的雲資產開啟防護。具體操作,請參見購買Cloud Firewall服務。
如果該帳號為RAM使用者(子帳號)。您需要使用該帳號所屬的阿里雲帳號(主帳號)對該帳號授予createSlr、AliyunYundunCloudFirewallReadOnlyAccess和AliyunYundunCloudFirewallFullAccess許可權。授權的具體操作,請參見為RAM使用者授權。
其中,createSlr是自訂權限原則,需要建立自訂權限原則,具體的指令碼內容如下。具體操作,請參見建立自訂權限原則。
{ "Statement": [ { "Action": [ "ram:CreateServiceLinkedRole" ], "Resource": "acs:ram:*:166032244439****:role/*", "Effect": "Deny", "Condition": { "StringEquals": { "ram:ServiceName": [ "cloudfw.aliyuncs.com" ] } } } ], "Version": "1" }說明Resource參數的格式為
acs:ram:*:阿里雲帳號(主帳號)ID:role/*。阿里雲帳號(主帳號)ID填寫為RAM使用者(子帳號)所屬的主帳號ID。
互連網邊界防火牆的作用是什嗎?
互連網邊界防火牆支援接入多種公網資產,例如ECS公網IP、SLB公網IP、EIP等。開啟互連網邊界防火牆後,系統將資產出入互連網邊界的流量轉寄到Cloud Firewall,Cloud Firewall會對流量進行檢測和過濾,只允許滿足允許存取條件的流量通過。更多內容,請參見互連網邊界防火牆。
互連網邊界防火牆是否支援防護IPv6資產?
支援。Cloud Firewall已於2025年1月8日全面支援IPv6資產防護。
詳細防護原理和資產類型:互連網防火牆防護原理
互連網邊界防火牆支援防護的資產範圍,請參見防護範圍。
互連網邊界防火牆是否會對網路流量產生影響?
如果僅開啟互連網邊界防火牆開關,未配置互連網邊存取控制策略和入侵防禦策略,Cloud Firewall僅對流量進行檢測和警示,不會進行攔截。
購買了Cloud Firewall,互連網邊界防火牆開關預設全部開啟。
關閉互連網邊界防火牆有什麼影響?
關閉互連網邊界防火牆,所有流量不會經過互連網邊界防火牆,將會產生以下影響:
互連網邊界防火牆的防護能力將會失效,包括互連網邊界出入方向的存取控制策略、入侵防禦等。
互連網邊界流量資料統計不會更新,包括網路流量分析報表、流量日誌等。
為什麼開啟互連網邊界防火牆時提示SLB網路限制?
可能原因
在開啟互連網邊界防火牆時,控制台頁面提示由於SLB所在網路限制,該IP所在網路不支援開啟防火牆保護,可能是因為該SLB資產只有私網IP,不支援開啟Cloud Firewall保護。
解決方案
對於只有私網IP的資產,如果需要開啟Cloud Firewall防護,您可以通過綁定EIP,將流量牽引到Cloud Firewall進行防護。具體操作,請參見私網CLB執行個體綁定和管理EIP。
免費版同步資產後,部分公網IP資產沒有顯示?
Cloud Firewall免費版只能同步EIP資產,且新增資產需要T+1天才能同步到Cloud Firewall。無法同步ECS公網IP、SLB公網IP。
開啟VPC邊界防火牆是否會影響ECS安全性群組規則?
不會。
開啟VPC邊界防火牆後,Cloud Firewall會自動建立名為Cloud_Firewall_Security_Group的安全性群組和相應的允許存取策略,用於允許流量通過到VPC邊界防火牆。Cloud_Firewall_Security_Group安全性群組僅對該VPC內的流量進行管控,您在之前建立的ECS安全性群組規則仍然有效,不會受到影響。因此,您無需遷移或修改ECS安全性群組規則。
建立VPC邊界防火牆時,提示存在未授權的網路執行個體?
可能原因
雲企業網中存在另一個阿里雲帳號下的Virtual Private Cloud,並且該阿里雲帳號未授權Cloud Firewall訪問雲資源。
解決方案
您通過未授權的阿里雲帳號登入Cloud Firewall控制台,根據頁面提示完成Cloud Firewall服務角色授權。具體操作,請參見授權Cloud Firewall訪問雲資源。
基礎版轉寄路由器情境,開啟VPC邊界防火牆後多了一條拒絕路由策略?
通過基礎版轉寄路由器串連的VPC(假設為VPC-test)開啟VPC邊界防火牆後,Cloud Firewall會在該基礎版轉寄路由器下建立一個名為Cloud_Firewall_VPC的VPC,並發布靜態路由,用於將該基礎版轉寄路由器下未開牆的VPC流量引入到Cloud Firewall。
同時,Cloud Firewall會在VPC-test內添加一條指向Cloud FirewallENI的靜態路由,將VPC-test出方向的流量引入到Cloud Firewall;並且建立一條拒絕路由策略,使得VPC-test不再學習雲企業網發布的路由。
請勿修改和刪除上述的路由策略和路由表,否則會影響Cloud Firewall引流,導致業務流量不通。
NAT邊界防火牆為什麼需要建立路由表和下發0.0.0.0/0靜態路由?
開啟NAT邊界防火牆後,Cloud Firewall會自動建立一個名為Cloud_Firewall_ROUTE_TABLE的自訂路由表,並添加路由0.0.0.0/0指向NAT Gateway,同時會修改系統路由表中的0.0.0.0/0路由條目,將其下一跳將指向Cloud FirewallENI,目的是將NAT Gateway出方向的流量引流到Cloud Firewall。
請勿修改或刪除上述的路由表和路由條目,否則會影響Cloud Firewall引流,導致業務流量不通。
同時開啟互連網邊界、NAT邊界和DNS邊界防火牆,出方向的流量如何匹配?
同時開啟互連網邊界、NAT邊界和DNS邊界防火牆,當ECS發起網域名稱訪問(出方向流量)時,流量匹配如下:
ECS發起DNS解析請求,解析請求會經過DNS邊界防火牆,匹配DNS邊界防火牆的存取控制策略。
ECS發起的私網流量經過NAT邊界防火牆,匹配NAT邊界防火牆的存取控制策略。
允許允許存取的私網流量經過NAT Gateway,由NAT Gateway將私網源IP轉換成NAT公網IP。
NAT Gateway發送公網流量到互連網邊界防火牆,匹配互連網邊界防火牆的存取控制策略。
流量匹配Cloud Firewall的威脅情報、基礎防禦、智能防禦和虛擬補丁規則。
如果在上述過程中,流量未命中任何一個拒絕策略,則該流量成功訪問網域名稱;如果該過程流量命中任何一個拒絕策略時,流量會被拒絕,將無法訪問網域名稱。
配置NAT邊界防火牆存取控制策略後仍可以使用telnet命令訪問?
某EIP已綁定SNAT並開啟NAT邊界防火牆,同時配置了僅允許ECS通過TCP協議,並使用HTTP或HTTPS應用訪問指定網域名稱的存取控制策略,但ECS仍可通過telnet命令訪問其他網域名稱。
原因分析:使用telnet命令測試時,由於其缺乏應用程式層協議特徵(如HTTP、HTTPS等),Cloud Firewall通過DPI無法識別具體應用類型,此時應用顯示為Unknown,不會命中HTTP或HTTPS策略。在寬鬆模式下,匹配應用策略或網域名稱策略時,如未識別網域名稱或應用,Cloud Firewall會預設允許存取此類未識別流量。若需繼續匹配後續策略,請開啟strict 模式。
重要strict 模式為全域性配置,開啟後將影響所有流量的匹配邏輯,請務必根據業務需求謹慎操作。
解決方案:不建議使用telnet測試,推薦使用curl命令進行測試。
如何高效開啟和配置Cloud Firewall互連網邊界存取控制策略?
雲端運算已成為企業數字化轉型的必然選擇,更廣泛的雲技術方案構成了更複雜的業務架構,安全邊界變得更加模糊。企業可通過Cloud Firewall構建雲上網路邊界防護能力,但是如果互連網IP數量多,需要設定的存取控制策略會很複雜。
Cloud Firewall提供了AI智能策略,可以自動學習近30日的流量情況、以及雲上IP資產、服務被訪問和主動外聯的情況,為每個目的IP或網域名稱自動建議合適的互連網邊界存取控制策略,縮小資產在互連網中的暴露面,阻斷內到外的惡意IP和網域名稱,降低業務入侵風險。
關於如何下發互連網邊界防火牆的智能存取控制策略,請參見配置互連網邊界存取控制策略。
雲企業網TR企業版自動引流建立VPC防火牆新舊版本有什麼區別?
Cloud Firewall對雲企業網TR企業版的VPC邊界防火牆部分功能進行調整,自動引流建立的防火牆VPC,由使用者帳號歸屬改為了雲端服務帳號託管,主要有以下區別:
防火牆VPC歸屬:新版本中防火牆VPC不再歸屬於使用者帳號,而是歸屬於Cloud Firewall後台帳號,您無法查看和修改防火牆VPC的資源和配置,同時不佔用您的VPC地區規格。
計費方式:舊版VPC防火牆引流架構中,除了轉寄路由器和業務VPC之間的TR流量傳輸費用外,轉寄路由器和防火牆VPC之間也會產生TR流量傳輸費用,這部分費用由使用者承擔。而新版的防火牆VPC歸屬Cloud Firewall,轉寄路由器和防火牆VPC之間的TR流量傳輸費由Cloud Firewall承擔,使用者無需再支付這部分費用。
開啟VPC防火牆操作:建立VPC邊界防火牆時不需要再輸入3個交換器網段,只需要輸入1個至少27位不與網路規劃衝突的網段來分配給建立防火牆過程所需交換器。如您需要配置企業版VPC防火牆,具體操作,請參見配置企業版轉寄路由器的VPC邊界防火牆。
啟用新版本TR企業版VPC防火牆的步驟
限制要求:僅支援自動引流,並且Cloud Firewall版本要求是按量版或者訂用帳戶版開啟流量超量後付費功能。
未建立VPC邊界防火牆:先開啟超量彈性計費(按量版客戶可省略),再建立VPC邊界防火牆。
警告必須嚴格按此順序執行。
已建立VPC邊界防火牆:
刪除引流情境,刪除已建立的VPC邊界防火牆。
開啟超量彈性計費(按量版客戶可省略)。
重新建立VPC邊界防火牆和引流情境。
開啟超量彈性計費具體操作,請參見訂用帳戶彈性流量後付費。
接入VPC邊界防火牆是否有延遲?
有。
同region不同AZ延遲增加4-8ms,同AZ延遲增加2-3ms。