云防火墙(Cloud Firewall)是您业务上云后的安全防护组件,支持全网流量识别、统一策略管控、入侵检测等核心功能。云防火墙不仅可以防护从互联网到业务的访问流量,同时还能控制业务到互联网的主动外联访问,对业务和业务间的访问进行控制。本文介绍云防火墙的使用流程。
前提条件
已购买云防火墙。具体操作,请参见购买云防火墙服务。
步骤一:开启云防火墙保护
云防火墙是互联网边界防火墙、VPC边界防火墙、主机边界防火墙的统称。购买云防火墙服务后,如果您未配置任何访问控制策略,或者未开启拦截模式的威胁引擎,云防火墙将无法为您的业务流量提供安全防护。
登录云防火墙控制台。
在左侧导航栏,单击防火墙开关。
根据业务需要,开启云防火墙开关。
防火墙类型
说明
操作
互联网边界防火墙
对互联网和公网IP资产间的通信流量统一管控。
开启互联网边界防火墙。具体操作,请参见互联网边界防火墙。
VPC边界防火墙
对专有网络VPC(Virtual Private Cloud)之间、VPC和本地数据中心之间的流量统一管控。
说明仅云防火墙企业版和旗舰版支持VPC边界防火墙。
开启VPC边界防火墙。具体操作,请参见VPC边界防火墙。
主机边界防火墙
对ECS实例间的入流量和出流量进行访问控制,限制ECS实例间的未授权访问。
主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。无需您单独开启主机边界防火墙。
说明仅云防火墙企业版和旗舰版支持主机边界防火墙。
配置主机边界防火墙的访问控制策略。具体操作,请参见主机边界(ECS实例间)。
NAT防火墙
对私网IP访问公网的流量进行访问控制和防护。
开启NAT防火墙。具体操作,请参见NAT防火墙。
开启或关闭防火墙后,防火墙状态更新为保护中(表示防火墙的防护已生效)或未受保护(表示防火墙的防护已关闭)。防火墙状态更新可能需要数秒时间,请耐心等待。
步骤二:配置入侵防御策略
云防火墙内置了威胁检测引擎(IPS)实现入侵防御的功能,可实时拦截入侵行为。
登录云防火墙控制台。
在左侧导航栏,选择。
在防护配置页面,配置威胁引擎运行模式、入侵防御白名单、威胁情报、基础防御和虚拟补丁。
配置项
说明
操作
威胁引擎运行模式
威胁引擎支持观察模式和拦截模式。
观察模式:该模式下,云防火墙会监控恶意流量并告警。
拦截模式:该模式下,云防火墙会拦截恶意流量,阻断入侵活动。针对不同的防护需求,您可以选择不同程度的拦截模式。
拦截模式-宽松:防护粒度较粗,主要覆盖低误报规则,适合业务对误报要求高的场景。
拦截模式-中等:防护粒度较宽松和精准,介于宽松和严格之间,适合日常运维的常规规则场景。
拦截模式-严格:防护粒度最精细,主要覆盖基本全量规则,相比中等规则组可能误报更高,适合对安全防护漏报要求高(例如:重保、护网)的场景。
说明开通云防火墙服务后,默认启用威胁引擎拦截模式。具体开启哪种程度的拦截模式,云防火墙会根据您业务流量的实际情况判断并默认选择。
只有开启拦截模式后,威胁情报、基础防御和虚拟补丁功能才会开启相应的威胁拦截。如未开启拦截模式,入侵防御功能只会对各类威胁和恶意流量进行监控。
防护白名单
云防火墙将您确定为可信的IPv4和IPv6内外双向流量的目的IP地址、源IP地址添加到防护白名单。添加到防护白名单中IP的流量不会被基础防护和虚拟补丁规则拦截。防护白名单不支持威胁情报。
配置入侵防御白名单。具体操作,请参见高级设置。
威胁情报
云防火墙可扫描侦查威胁情报,并提供中控情报阻断。
威胁情报可将阿里云全网检测到的恶意IP同步到云防火墙,例如恶意访问源、扫描源、暴力破解的源IP等,并对其精准拦截,可提前感知网络威胁源。
配置威胁情报。具体操作,请参见高级设置。
基础防御
云防火墙默认为您开启部分常见威胁相关的检测规则。
基础防御可提供基础的入侵防御能力,包括暴力破解拦截、命令执行漏洞拦截、对被感染后连接C&C(命令控制)的行为管控,可为您的资产提供基础的防护能力。建议您开启基础防御。
配置基础防御。具体操作,请参见高级设置。
智能防御
云防火墙可以学习云上攻击数据,提高威胁和攻击的识别准确率。
目前智能防御仅支持观察模式。
配置智能防御。具体操作,请参见高级设置。
虚拟补丁
云防火墙可为您实时防护热门的高危漏洞和应急漏洞。
虚拟补丁针对可被远程利用的高危漏洞和应急漏洞,在网络层提供热补丁,实时拦截漏洞攻击行为,避免修复主机漏洞时对业务产生的中断影响。
说明仅云防火墙企业版和旗舰版支持自定义设置虚拟补丁规则。
配置虚拟补丁。具体操作,请参见高级设置。
步骤三:查看网络流量分析
通过流量分析,您可以实时查看主机发生的主动外联、公网暴露、VPC互访的详细信息,进行流量可视化管理,排查异常流量。
流量分析是配置访问控制策略的基础。建议您在配置访问控制策略前全面了解您资产的流量情况。
主动外联
网络资产开启云防火墙防护后,主动外联页面向您实时展示主机的主动外联数据,帮助您及时发现可疑主机。
登录云防火墙控制台。
在左侧导航栏,选择。
在主动外联页面,您可以查看资产指定时间范围的主动外联情况。
数据
说明
支持的操作
外联域名
统计业务主动访问互联网域名时,存在风险的域名数量和全部域名的数量。
单击外联域名和外联目的IP区域分别跳转到外联域名和外联目的IP页签。
您可以根据业务需要,对识别到有风险的域名或者目的IP执行如下操作,来保障您的资产安全。
配置访问控制策略
单击配置ACL策略,跳转到访问控制的互联网边界防火墙,配置出方向策略。具体操作,请参见互联网边界(出入双向流量)。
查看外联域名详情
单击详情,在外联域名面板,查看外联域名的详细信息。
在EIP外联页签,查看外联ECS信息。单击查看日志,跳转到日志审计的流量日志页签。具体操作,请参见流量日志。
加入地址簿
单击
图标,再单击加入地址簿,跳转到地址簿管理页面。具体操作,请参见地址簿管理。标记为关注
单击
图标,再单击标注为关注,将该条数据设置为重点关注。取消关注
单击列表右上方的关注名单,在关注名单面板,对指定的目的域名、目的IP、公网资产IP、私网资产IP取消关注。
加入白名单
单击
图标,再单击加入白名单,将该条数据加入白名单,即不再分析该数据,该数据也不会出现在列表中。取消白名单
单击列表右上方的白名单,在白名单面板,对目的域名或者IP取消加白,取消后,该数据会显示在列表中。
查看日志
单击
图标,再单击查看日志,跳转到日志审计的流量日志页签。具体操作,请参见流量日志。
外联目的IP
统计业务主动访问互联网IP时,存在风险的目的IP的数量和全部目的IP的数量。
公网外联资产
统计业务通过公网IP(例如EIP)主动访问互联网时,发起有风险的资产数量和全部资产的数量。
单击公网外联资产和私网外联资产区域分别跳转到公网外联资产、私网外联资产页签,查看详细信息。
标记为关注
单击标注为关注,将该条数据设置为重点关注。
取消关注
单击列表右上方的关注名单,在关注名单面板,对指定的目的域名、目的IP、公网资产IP、私网资产IP取消关注。
查看日志
单击查看日志,跳转到日志审计的流量日志页签。具体操作,请参见流量日志。
私网外联资产
统计业务通过NAT网关主动访问互联网时,发起有风险的私网资产数量和全部私网资产的数量。
外联协议
统计业务通过应用协议主动访问互联网时,未识别协议和全部协议的数量及占比。
单击外联协议区域跳转到外联协议页签,查看详细信息。
查看日志:单击查看日志,跳转到日志审计的流量日志页签。具体操作,请参见流量日志。
公网暴露
云防火墙的互联网访问活动为您统计资产入方向正常流量和异常流量的概览信息,包括入方向流量的开放应用、开放端口、开放公网IP地址和入方向流量访问的云产品信息。
登录云防火墙控制台。
在左侧导航栏,选择。
在公网暴露页面,查看IP流量排行表、全部流量趋势图及互联网访问活动详情。
数据 说明 支持的操作 开放公网IP 统计开放公网IP的总数量和对应存在风险项的数量。 查看访问公网IP的流量数据:单击操作列访问详情,在开放公网IP面板,查看访问该公网IP的详细信息,帮助您识别出恶意行为的流量。 开放端口 统计开放端口的总数量和对应的风险项数量。 查看访问开放端口的流量数据:单击操作列访问详情,在开放端口面板,查看访问该开放端口的详细信息,帮助您识别出恶意行为的流量。 开放应用 统计开放应用的总数量和对应的风险项数量。 查看访问开放应用的流量数据:单击操作列访问详情,在开放应用面板,查看访问该应用的详细信息,帮助您识别出恶意行为的流量。 明细 展示所有资产的流量数据。 查看所有资产类型的流量数据:单击操作列访问详情,在明细面板,查看访问目标资产的详细信息,帮助您识别出恶意行为的流量。 云产品 统计入方向的流量访问云产品的公网IP数量。 无
VPC互访
VPC互访统计VPC专有网络之间的流量信息,帮助您实时获取VPC网络流量信息,及时发现和排查异常流量,从而更快地发现和检测出攻击。
登录云防火墙控制台。
在左侧导航栏,选择。
在VPC互访页面,查看VPC间流量访问、VPC间会话Top排行、流量访问的开放端口和资产等信息。
数据 说明 支持的操作 VPC间流量 统计专有网络VPC入方向、出方向流量的峰值和均值数据,并展示入方向、出方向流量数据趋势图。 查看流量Top排行信息:在流量数据趋势图上,单击目标时间点,在流量Top排行区域展示该时间点的Top流量信息。 流量Top排行 默认统计所有流量中排名前10、20或50的数据,包括流量的IP地址、流入和流出详情。 查看日志:定位到目标IP,单击操作列查看日志,跳转到VPC边界流量日志页面,查看目标VPC的日志详情。 VPC间会话Top排行 统计VPC间会话的流量排行数据,包括流量排行、IP会话、IP会话数、流量、端口和占比详情。 查看端口占比的详细信息:定位到目标IP会话数据,单击查看占比列的查看,在开放端口占比区域查看该会话中端口占比的详情。 开放端口占比 默认统计所有开放端口占比详情。 无 开放端口 统计VPC间流量访问的开放端口数据,包括本端开放端口、协议、应用、访问流量、请求次数、本端资产IP、风险评估详情。 查看开放端口详情:定位到目标本端开放端口,单击操作列查看详情,在端口访问详情面板查看该端口的详细信息。 查看日志信息:在端口访问详情面板,定位到目标对端源IP,单击操作列查看日志,跳转到VPC边界流量日志页面,查看目标IP的日志详情。
说明 单击列表右上角的
图标,将开放端口数据以CSV格式下载到本地计算机,方便您对数据进行查看和分析。资产 统计VPC间流量访问的资产数据,包括本端资产IP、本端实例ID、本端端口、访问流量、请求次数、风险评估详情。 查看资产访问详情:定位到目标本端资产IP,单击操作列查看详情,在资产访问详情面板,查看该资产的详细信息。 查看日志信息:在资产访问详情面板,定位到目标对端源IP,单击操作列查看日志,跳转到VPC边界流量日志页面,查看目标IP的日志详情。
说明 单击列表右上角的图标,将资产数据以CSV格式下载到本地计算机,方便您对数据进行查看和分析。
步骤四:配置访问控制策略
云防火墙支持对内网访问外网的流量、外网访问内网的流量和内网之间互访的流量进行精准的访问控制,降低资产被入侵的风险。
如果您需要配置对可信源IP放行,对其他访问源拒绝的策略。推荐配置:首先创建一个对可信源IP放行的高优先级策略;再创建一个拒绝所有访问源访问外部互联网的低优先级策略。
互联网边界防火墙(出入双向流量)
互联网边界防火墙支持对公网资产的出、入流量访问控制。您可以在云防火墙中配置访问控制策略,限制公网资产和互联网之间的未授权访问。
除开放有必要的主动外联访问以外,建议您将其他出方向流量全部设置为拒绝。
登录云防火墙控制台。
在左侧导航栏,选择。
在出向或者入向页签,选择需要创建的IP类型(默认创建IPv4类型的策略),然后单击创建策略。
在创建出向策略或者创建入向策略面板,单击自定义创建。
参考以下表格,配置策略详情,然后单击确定。
VPC边界防火墙
VPC边界防火墙用于检测和控制两个VPC间的通信流量,默认放行所有流量。您需要先创建一条VPC边界防火墙放行策略,先放行可信流量,将优先级设置为最前,然后创建第二条VPC边界防火墙拒绝策略,拒绝其它所有访问源去访问内部网络,将优先级设置为最后。
仅云防火墙企业版、旗舰版支持VPC边界防火墙。
登录云防火墙控制台。
在左侧导航栏,选择。
在VPC边界页面,单击创建策略。
参考以下表格,配置策略详情,然后单击确定。
配置项
说明
源类型
网络连接的发起方。您需要选择访问源类型,并根据访问源类型输入发送流量的访问源地址。
选择IP类型时,需要输入IP地址段。地址段需要使用标准掩码格式,例如192.168.0.0/16。最多支持输入2000个地址段,多个地址段之间使用半角逗号(,)分隔。
如果您同时输入了多个IP地址段,云防火墙会自动将输入的多个地址段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。
选择地址簿类型时,您需要提前创建IP地址簿(IPv4或IPv6)。创建地址簿的具体操作,请参见地址簿管理。
选择区域类型时,需要选择访问源地址所在的区域。可选中国区域或国际区域。
访问源
目的类型
网络流量的接收方。您需要选择目的类型,并根据目的类型输入接收流量的目的地址。
选择IP类型时,需要输入IP地址段。地址段需要使用标准掩码格式,例如192.168.0.0/16。最多支持输入2000个地址段,多个地址段之间使用半角逗号(,)分隔。
如果您同时输入了多个IP地址段,云防火墙会自动将输入的多个地址段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。
选择地址簿类型时,您需要提前创建IP地址簿(IPv4或IPv6)。创建地址簿的具体操作,请参见地址簿管理。
选择域名类型时,需要输入目的域名地址,支持泛域名(例如*.aliyun.com)。
目的
协议类型
传输层协议类型,支持设置为:TCP、UDP、ICMP、ANY。不确定具体协议时可选择ANY。
端口类型
设置目的端口类型和目的端口。
选择端口类型时,需要输入端口段。端口段中间通过正斜线(/)分隔,例如22/22、80/88。最多可添加2000个端口段,多个端口段之间使用半角逗号(,)隔开。
如果您同时输入了多个端口段,云防火墙会自动将输入的多个端口段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。
地址簿:选择地址簿类型时,您需要提前创建端口地址簿。创建地址簿的具体操作,请参见地址簿管理。
端口
应用
设置访问流量的应用类型。
协议类型选择TCP时,应用类型支持选择为HTTP、HTTPS、SMTP、SMTPS、SSL、FTP等。
协议类型选择UDP、ICMP或ANY时,应用类型仅允许选择为ANY。
目的类型选择域名地址簿或域名时,应用类型仅允许选择为HTTP、HTTPS、SMTP和SMTPS。
说明识别应用依赖应用报文特征(协议识别不依据端口),应用识别失败时,该会话流量会被放行。如果您想拦截未知应用类型的流量,建议您开启互联网边界防火墙严格模式。更多信息,请参见互联网边界防火墙-严格模式。
动作
设置匹配成功的流量在该条策略的放行情况。
放行:放行该流量。
拒绝:拦截该流量,并且不会提供任何形式的通知信息。
观察:该模式下,默认放行流量。观察一段时间后,您可根据需要调整为放行或拒绝。
描述
输入该策略的备注内容,便于您后续查看时能快速区分每个策略的目的。
优先级
选择该策略的优先级,默认为最后,表示优先级最低。
最前:指访问控制策略生效的优先级最高,最先生效。
最后:指访问控制策略生效的优先级最低,最后生效。
主机边界防火墙(ECS实例间)
主机边界防火墙可以对ECS实例间的入流量和出流量进行访问控制,限制ECS实例间的未授权访问。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。
登录云防火墙控制台。
在左侧导航栏,选择。
在主机边界页面,依次创建策略组、创建出向策略或入向策略、发布策略。具体操作,请参见主机边界(ECS实例间)。