您可以使用互連網邊界防火牆,精細化管控業務公網資產出入互連網的訪問流量,減少公網資產在互連網的暴露面,降低業務流量的安全風險。開通互連網邊界防火牆時,您無需更改當前網路拓撲,可以將資源一鍵秒級接入保護,快速實現對互連網出入流量的可視化分析、攻擊防護、存取控制、日誌審計等。
功能介紹
防護原理
公網資產開啟互連網邊界防火牆後,Cloud Firewall會基於DPI流量分析、IPS入侵防禦規則、威脅情報、虛擬補丁、存取控制策略等,對出向和入向流量進行過濾,判斷流量是否滿足允許存取條件,有效攔截非法的訪問流量,保障公網資產與互連網之間的流量安全。
防護的公網資產範圍(出向+入向):如ECS、EIP(含L2 EIP)、負載平衡類資產、Bastionhost、NAT、HaVip、GA EIP等IPv4和IPv6資產。
互連網邊界防火牆的防護情境樣本如下圖所示:
對業務的影響
建立、開啟及關閉互連網邊界防火牆時,您無需更改當前的網路拓撲,可以將資源一鍵秒級接入保護或關閉保護,對業務無影響。建議您在業務低峰期開啟互連網邊界防火牆。
防護規格
自2025年10月15日起,Cloud Firewall發布計費方式2.0。新購使用者預設採用計費方式2.0,此前已購買的使用者繼續使用計費方式1.0,不同的計費方式下,互連網邊界防火牆的防護規格不同。
計費方式2.0
防護規格 | 說明 | Cloud Firewall訂用帳戶版(進階版、企業版、旗艦版) | Cloud Firewall按量版 |
防火牆執行個體數 | 可防護的地區數量,每個防護的地區對應一個互連網邊界防火牆執行個體。 | 取決於購買的執行個體數與頻寬,不同版本提供的執行個體數與頻寬,請參見訂用帳戶2.0。若配額不足,可以升級規格。具體操作,請參見查看資產的防護情況。 | 根據實際防火牆執行個體數和處理的總流量計費。 支援處理的峰值頻寬最高為10Gbps,如需要定製更大規格,請聯絡商務經理或架構師。詳細計費內容,請參見隨用隨付2.0。 |
公網流量處理能力 | 防火牆處理的互連網總流量峰值,計費標準為互連網出向與入向流量頻寬之和。 |
計費方式1.0
防護規格 | 說明 | Cloud Firewall訂用帳戶版(進階版、企業版、旗艦版) | Cloud Firewall按量版 |
可防護公網IP數 | 可開啟互連網邊界防火牆開關的公網IP數量。 | 取決於您購買的可防護公網IP數量和可處理的總流量峰值。如果配額不足,您可以升級規格。 不同Cloud Firewall版本擁有不同的公網IP配額限制,具體內容,請參見訂用帳戶1.0。 說明 如果您的業務流量超過已購Cloud Firewall流量處理規格,則不能保證產品SLA,可能觸發包括但不限於安全能力失效(ACL、IPS、日誌審計)、TOP超量資產關閉防火牆、限速丟包等超量降級規則。 若您的業務流量可能有超量風險,建議參考訂用帳戶彈性流量後付費。 | 根據實際開啟防護的公網IP數和處理的總流量峰值計費,不存在配額限制。詳細計費內容,請參見隨用隨付1.0。 |
公網流量處理能力 | 處理的互連網總流量峰值,計費標準為互連網出向或入向流量頻寬取最高值。 |
查看資產的防護情況
Cloud Firewall會統計當前互連網防火牆執行個體數與未開啟保護的公網IP數,您可以根據實際需求,為公網資產開啟防護。
為了保證業務流量安全,建議您開啟阿里雲帳號下所有公網資產的互連網邊界保護。
在左側導覽列,單擊防火牆開關。
在互聯網邊界防火牆頁簽,查看當前阿里雲帳號的公網資產防護情況。
(可選)如果當前的可用实例授权数不足,您可以單擊升级進行升配,更多資訊,請參見訂用帳戶2.0。
開啟防火牆開關
手動為資產開啟保護
沒有開啟新增资产自动保护功能時,可通過如下方式,手動為公網資產開啟互連網邊界保護。
在左側導覽列,單擊防火牆開關。
在互聯網邊界防火牆頁簽,單擊IPv4或IPv6頁簽,手動開啟公網資產保護。
如果在公網資產列表中沒有需要開啟保護的資產,您可以在公網資產列表右上方單擊同步資產,同步當前阿里雲帳號及其成員帳號的資產資訊。資產同步預計需要1~2分鐘。
單個開啟保護:在公網資產列表中找到需要開啟保護的公網資產,在操作列單擊開啟保護。
批量開啟保護:在公網資產列表中選中多個需要開啟保護的公網資產,在列表下方單擊開啟保護。
開啟新增資產自動保護
開啟新增资产自动保护後,當前阿里雲帳號及其成員帳號下如果有新增的公網資產,Cloud Firewall將自動開啟新增資產的互連網邊界保護。
在左側導覽列,單擊防火牆開關。
開啟新增资产自动保护功能:在互聯網邊界防火牆頁簽,開啟新增资产自动保护右側的按鈕。
選擇自動保護的新增資產類型:單擊新增资产自动保护,在彈出的配置介面中,按資產類型與所屬地區選擇需自動保護的新增資產,配置完成後單擊保存设置以生效。
後續步驟
建立互連網邊界防火牆後,您可以為互連網邊界防火牆設定存取控制策略、查看公網資產訪問日誌等,以便您更好地管控公網資產和互連網之間的流量訪問。
配置存取控制策略
如果您未配置任何存取控制策略,Cloud Firewall預設允許存取流量。您可以建立互連網邊界存取控制策略,精細化管控公網資產訪問互連網的流量。
在頁面,定位到目標互連網邊界防火牆的操作列,單擊配置策略,選擇配置該公網資產的出向或者入向存取控制策略。具體操作,請參見配置互連網邊界存取控制策略。
查詢審計日誌
在頁面的頁簽,設定篩選條件,查看公網資產和互連網的訪問日誌。更多資訊,請參見日誌審計。
查看流量分析
查看攻擊防護資料
在頁面,定位到目標互連網邊界防火牆的操作列,單擊查看攻擊,選擇查看公網資產出向或者入向的攻擊防護資料。具體資訊,請參見入侵防禦。
查看公網流量處理情況
在左側導覽列,單擊概覽,然後在概覽頁面的资产防护情况地區,查看防火牆執行個體數、已購流量與近期頻寬峰值。
更多操作
下發安全性群組預設放通策略
互連網邊界防火牆防護的是互連網方向的流量方向,因此您需要確認防護的公網資產已允許存取互連網方向的流量,具體資訊,請參考公網資產對應的官網文檔。
防護ECS資產(包括ECS公網IP和ECS EIP)時,您可以在Cloud Firewall控制台一鍵下發互連網方向的預設允許存取策略,方便您通過Cloud Firewall統一管理規則,無需前往ECS管理主控台修改安全性群組的配置。
功能原理
Cloud Firewall通過給ECS資產關聯的安全性群組下發4個優先順序最低(優先順序為100)的規則,允許存取ECS資產在互連網方向的訪問。
對於相同優先順序的規則,ECS安全性群組會優先匹配拒絕規則。因此,如果您原來配置了優先順序為100的拒絕規則,Cloud Firewall下發的允許存取策略不會使您之前配置的拒絕規則失效。
注意事項
一鍵下發的安全性群組預設放通策略,會對關聯到該安全性群組的所有資源生效,在下發前,建議為安全性群組關聯的所有資源開啟Cloud Firewall保護,並且合理配置互連網邊界的入方向存取控制策略,否則會存在公網暴露的風險。
對於未開啟Cloud Firewall開關的資源,不建議下發預設放通策略;對於已放通的資源,不建議關閉Cloud Firewall的防護開關。
Cloud Firewall服務到期後,通過Cloud Firewall自動新增的4個放通策略還會保留在安全性群組中,並處於生效狀態。如果您不再使用Cloud Firewall服務,建議您手動刪除Cloud Firewall下發的4條預設放通策略。具體操作,請參見刪除安全性群組規則。
使用限制
下發安全性群組預設放通策略功能只支援ECS公網IP和ECS EIP的入方向規則。
企業級安全性群組不支援下發安全性群組預設放通策略。
下發放通策略
在左側導覽列,單擊防火牆開關。
在互聯網邊界防火牆頁簽,單擊IPv4或IPv6頁簽。
在公網資產列表找到需要放通預設策略的ECS資產,在安全性群組預設放通策略列單擊下發。
(可選)如果當前安全性群組中的規則與待下發的規則衝突,您需要先完成策略調整。
在安全性群組對應的操作列,單擊一鍵下發,查看待下發的4個放通策略,然後單擊確定。
如果ECS關聯了多個安全性群組,您可以分別為所有關聯的安全性群組下發放通策略,該ECS的預設放通策略才會生效。
安全性群組放通配置完成後,您可以在頁面查看安全性群組預設放通策略的下髮狀態,確定策略是否已成功下發,及時排查未成功下發的問題。
安全性群組策略下髮狀態包含:
已下發:ECS資產關聯的所有安全性群組均已下發了預設放通策略;
未下發:ECS資產關聯的全部安全性群組或部分安全性群組還未下發預設放通策略,或者存在配置衝突。
-:該資產類型不支援一鍵下發預設放通策略。
下載公網資產列表
您可以將公網資產列表的資產資訊以CSV檔案形式下載到本地。
在左側導覽列,單擊防火牆開關。
在互聯網邊界防火牆頁簽,單擊IPv4或IPv6頁簽。
在公網資產列表右上方,單擊
表徵圖。在互聯網邊界防火牆頁簽的右上方,單擊下载任务管理,查看任務下載進展。任務下載完成後,在操作列,單擊下载。