全部产品
Search
文档中心

云防火墙:售前常见问题

更新时间:Nov 16, 2023

本文介绍使用云防火墙前的常见问题解决方案。

功能特性相关

按量付费版相关

防护范围相关

与其他云产品的关系

为什么使用云防火墙需要授予服务关联角色(AliyunServiceRoleForCloudFW)?

您授权云防火墙访问当前阿里云账号下的云资产,例如云服务器ECS(Elastic Compute Service)实例列表、专有网络VPC(Virtual Private Cloud)实例列表、负载均衡SLB(Server Load Balancer)实例列表等,才能在云防火墙控制台看到云资产的流量请求和响应情况,以及云资产之间的私网业务访问情况,并根据这些数据的分析结果配置访问控制策略。

您只有使用阿里云账号或拥有管理访问控制权限(AliyunRAMFullAccess)的RAM用户身份,才能授权云防火墙访问云资源。关于授权的具体操作,请参见授权云防火墙访问云资源

如何关闭云防火墙按量版?

登录云防火墙控制台概览页面右上角,单击自助释放。具体信息,请参见手动释放按量付费版实例

为什么关闭云防火墙按量付费版后还在扣费?

云防火墙按量付费版以天为单位计费,每天18:00左右会统计前一天的费用并进行结算。即当日关闭的云防火墙按量版,次日还会推送一次账单。具体信息,请参见按量付费

如何查看云防火墙按量付费流量使用明细?

登录云防火墙控制台设置 > 账单管理页面,查看按量付费流量使用明细。具体操作,请参见查看按量付费流量使用明细

云防火墙按量付费版怎么收费?

云防火墙按量付费版按照实际用量结算,以天为单位计费,每天18:00统计前一天的费用并进行结算。云防火墙按量付费版的费用计算公式:每日账单费用=每日产生的公网IP配置费+每日产生的流量处理费。具体信息,请参见按量付费

如果您购买了按量节省套餐包,会按照购买的折扣进行抵扣。具体内容,请参见按量节省套餐包

如何将云防火墙包年包月版转按量付费版,有什么影响?

云防火墙包年包月版不允许直接转换为按量付费版。如果需要将包年包月版转换为按量付费版,您可以释放包年包月版后,重新购买云防火墙按量付费版。

具体操作和释放包年包月版的注意事项,请参见包年包月版转换按量付费版

如何将云防火墙按量付费版转包年包月版,有什么影响?

您可以根据业务需要,将云防火墙的计费模式由按量付费平滑转换为包年包月模式。具体操作和注意事项,请参见按量付费版转换为包年包月版

什么是云防火墙按量节省套餐,如何使用?

按量节省套餐包是云防火墙推出的一种折扣权益计划,您可以通过承诺在一定期限内消费一定的金额,来换取较低的按量付费折扣。您的承诺消费金额越大,享受的折扣越大,可节省更多成本。具体信息和操作步骤,请参见按量节省套餐包

云防火墙按量版和包年包月版有什么区别?

云防火墙是否支持防护L2 EIP?

支持。云防火墙支持防护的资产范围,请参见什么是云防火墙

云防火墙是否支持防护经典网络?

仅支持经典网络中存在公网IP的ECS实例和部分SLB。主机边界防火墙支持防护VPC间的流量,不支持防护经典网络。

云防火墙是否支持对公网SLB的访问?

阿里云提供公网和私网两种类型的负载均衡(SLB)服务。由于历史网络架构的原因,部分公网SLB不支持云防火墙引流,推荐您采用私网SLB加EIP的方案,将流量牵引到云防火墙上进行防护。

采用云防火墙后,数据从云防火墙流入DNAT(EIP),再流入私网SLB。

云防火墙是否支持对高速通道(专线VBR)和云企业网的访问控制?

支持。具体说明如下:

  • 高速通道场景下,目前只支持同地域VPC和VPC互访的防护,不支持VPC和VBR互访的防护。

  • 云企业网场景下,支持VPC和VPC、VPC和VBR之间互访的防护。

说明

如果需要云防火墙防护跨地域的VPC间互访或者VPC和VBR互访的流量,您需要将高速通道对等连接的专有网络VPC(Virtual Private Cloud)平滑迁移至云企业网。相关内容请参见已使用对等连接的VPC迁移至云企业网

云防火墙是否有抗APT攻击的能力?

有。云防火墙内置的威胁情报功能具备防范APT攻击的能力。

互联网边界防火墙是否支持防护访问公网VPN的流量?

不支持。如果您从互联网访问公网VPN,该流量会被VPN加密,互联网边界防火墙无法对加密流量进行检测防护。

VPC边界防火墙是否支持防护通过IPsec-VPN访问VPC的流量?

首先需要明确您的网络部署情况,VPC边界防火墙是否支持防护分以下三种情况:

第一种:如果您的网络中IPsec-VPN通过绑定云企业网转发路由器的方式部署,将IPsec-VPN与业务VPC的网络打通。这种情况下VPC边界防火墙支持防护。

例如网络部署如下,VPC边界防火墙支持防护企业办公网与业务VPC之间的流量。

image

第二种:如果您的网络中IPsec-VPN通过绑定VPN网关的方式部署在业务VPC内,且业务中存在跨VPC访问的流量(CEN、VPC对等连接)。这种情况下,云防火墙支持防护跨业务VPC访问的流量。

例如网络部署如下,VPC边界防火墙不支持防护企业办公网到IPsec-VPN所在VPC之间的流量,但是支持企业办公网与其他业务VPC(与IPsec-VPN所在VPC网络打通的其他VPC)之间的流量。

image

如果您的业务必须防护通过IPsec-VPN访问其他业务VPC的流量,可以对网络进行改造,将IPsec-VPN部署到一个单独的VPC上,这样云防火墙就可以防护IPsec-VPN所在VPC到其他业务VPC的流量。

第三种:如果您的网络中IPsec-VPN通过绑定VPN网关的方式部署在业务VPC内,业务中不存在跨VPC访问的流量。这种情况下VPC边界防火墙不支持防护。

例如网络部署如下,VPC边界防火墙不支持防护企业办公网与业务VPC之间的流量。

image

哪些流量会占用云防火墙的防护带宽?

云防火墙的防护带宽包含公网流量处理能力VPC流量处理能力NAT私网流量处理能力。具体信息,请参见云防火墙购买页

云防火墙在阿里云网络中的位置是什么?

下图展示了部分阿里云产品(包括云防火墙)的逻辑关系。

image

同时使用DDoS、WAF、云防火墙,业务流量如何走向?

  • 同时使用了DDoS、WAF(CNAME接入)、云防火墙,则业务的流量走向为:

    DDoS->WAF->云防火墙->后台服务

  • 同时使用了DDoS、WAF(云产品接入)、云防火墙,则业务的流量走向为:

    DDoS->云防火墙->WAF->后台服务

云防火墙最多支持几个跨账号部署?

云防火墙高级版、企业版、旗舰版支持统一账号管理功能(即跨账号部署)。关于各版本支持的管控数,请参见计费项说明。如果您需要添加更多的成员账号,需要升级云防火墙规格,扩充多账号管控数。具体操作,请参见升级和降配