互联网边界防火墙 - 云防火墙

互联网边界防火墙帮助您检测互联网和公网IP资产间的通信流量。您可以为阿里云账号下的公网IP资产开启或关闭互联网边界防火墙，也可以下发安全组默认放通策略，简化ECS安全组访问控制策略的配置。本文介绍如何配置互联网边界防火墙。

防护原理图

防护的资产

互联网边界防火墙（南北向）：ECS公网IP、ECS EIP、CLB公网IP、CLB EIP、ALB EIP、NLB EIP、HAVIP、EIP（含L2 EIP）、ENI EIP、NAT EIP、SLB IPv6、ECS IPv6、堡垒机IP资产。

背景信息

公网IP配额未超过限制。公网IP配额指支持开启互联网边界防火墙的公网IP数量，关于不同云防火墙版本拥有不同的公网IP配额限制的信息，请参见功能特性。您可以通过扩充带宽规格来增加默认公网IP配额，相关操作，请参见续费说明。

查看统计信息

云防火墙为您展示当前账号下互联网防火墙的统计信息。

登录云防火墙控制台。在左侧导航栏，单击防火墙开关。
在互联网边界防火墙页签，您可以查看当前账号下公网IP未保护数、公网IP已保护数、可用授权；以及按地域和资产类型统计的未全部保护、已全部保护数。
当版本默认的可用授权数（可防护公网IP数）占用满时，您可以单击规格升级，根据实际需求进行授权数扩展。关于各版本支持的可防护公网IP数，请参见包年包月。
查看公网IP未保护、已保护的IPv6、IPv4个数。
1. 单击公网IP区域的图标，查看未保护、已保护的IPv6、IPv4个数。
2. 单击IPv6、IPv4的个数，页面下方的公网IP资产列表会为您展示对应的数据信息。
  例如，单击未保护的IPv6个数，页面下方的公网IP资产列表为您展示未保护的IPv6资产详细信息。

开启或者关闭互联网边界防火墙

说明

建议您开启阿里云账号下所有的互联网边界防火墙。

登录云防火墙控制台。在左侧导航栏，单击防火墙开关。
在互联网边界防火墙页签，单击同步资产，系统为您同步当前账号及其成员账号的资产信息。
整个过程预计需要1~2分钟。
按照如下维度开启或者关闭互联网边界防火墙。
- 为所有公网IP资产开启或关闭互联网边界防火墙
  根据公网IP、按地域分类、资产类型三个维度，单击开启保护或关闭保护，一键开启或关闭所有公网IP资产的互联网边界防火墙。
- 为单个或多个公网IP资产开启或关闭互联网边界防火墙
  1. 在IPv4或者IPv6页签的公网IP列表中，定位到目标IP。
    您可以通过资产类型、地域、防火墙状态过滤资产列表，或者使用实例ID/UID搜索目标资产。
  2. 单击右侧操作列的开启保护或关闭保护，为其开启或关闭互联网边界防火墙。
- 为新增资产开启或关闭互联网边界防火墙
  新增资产自动保护开关默认是开启状态。如果您在当前阿里云账号下新增公网IP资产，新增的公网IP资产将自动开启互联网边界防火墙。
开启或关闭互联网边界防火墙后，防火墙状态更新为保护中（表示互联网边界防火墙的防护已生效）或未受保护（表示互联网边界防火墙的防护已关闭）。

下发安全组默认放通策略

ECS安全组的访问控制默认拒绝互联网方向的访问，云防火墙通过下发放通策略将默认拒绝的属性修改为放通，方便您在云防火墙的访问控制中统一管理规则，无需您前往ECS管理控制台的安全组页面修改安全组的配置。

防护原理

云防火墙通过给开放公网IP的ECS安全组下发4个优先级最低（优先级为100）的访问控制策略（即ECS安全组规则），实现该ECS的公网IP在互联网方向的默认放通。安全组放通功能无需您手动添加访问控制策略，只需在云防火墙自动新增策略后，确认这4个策略无误，并保存新增策略即可。

说明

安全组放通的功能仅对ECS安全组规则设置为放行的流量生效，对于设置为拒绝的安全组规则无影响。

限制条件

企业安全组不支持安全组放通功能，且在同一个VPC网络中存在企业安全组，则该VPC所属的安全组也不支持默认放通功能。更多内容，请参见企业安全组。
目前安全组放通只支持ECS Public IP和ECS EIP这两类资产的互联网方向（外到内）流量，公网SLB等不支持开启。
为更好地保护您的资产安全，对于未开启云防火墙开关的IP，不建议执行默认放通。对于已放通的IP，不建议关闭云防火墙的防护开关，否则会存在公网IP暴露的风险。

警告

请您重点关注以下情况，以免为您的业务带来严重安全风险。

对于未开启云防火墙开关的IP，不建议执行默认放通。
如果ECS的公网IP不支持开启引流（例如公网SLB），不建议执行默认放通。
云防火墙服务到期后，如果您不再使用云防火墙服务，可以通过云服务器ECS的删除安全组规则功能，删除云防火墙之前自动添加的这4个放通策略。具体操作，请参见删除安全组规则。

登录云防火墙控制台。在左侧导航栏，单击防火墙开关。
在互联网边界防火墙页签，定位到需要放通的安全组，单击下发。
在安全组默认放通策略对话框，确认需要放通的关联安全组，并执行以下步骤。
- 关联安全组不存在配置冲突
  1. 单击一键下发，在安全组默认放通策略 > 一键下发对话框，可查看到云防火墙自动为您新增的4个放通策略。
  2. 确认无误后，单击确定及提交，默认放通该安全组互联网方向的访问。
    说明
    单击提交后，该安全组下所有ECS实例的互联网方向流量将会变为默认放开。建议您梳理一下该安全组ECS对外暴露的公网IP，确认这些公网IP都在云防火墙中配置了相应的访问控制策略。
  3. 单击查看可查看关联安全组的详细信息。
    关联的安全组都执行了一键下发后，该目标IP地址所属的安全组放通策略状态将变为已下发，策略也将立即生效。
    重要
    由于安全组放通后，该安全组将默认放开互联网方向的访问流量，需要您关注以下几点：
    安全组放通后，需要确保在云防火墙上开启该IP的防火墙防护开关，并在互联网边界防火墙外对内方向中添加对应的访问控制策略。
    ECS公网IP所关联的安全组放通后，该安全组下所有ECS实例的互联网方向的访问都会变为默认放通。建议您合理配置安全组的实例，有效控制公网暴露范围和降低您ECS暴露的风险。
    如果您的云防火墙服务过期并自动释放，已放通的安全组将不再受云防火墙的保护。建议您在收到云防火墙过期提醒消息时及时续费，或对已放通的安全组进行互联网方向的访问控制加固。放通安全组时，云防火墙为您自动新增的4个放通策略还会保留在ECS安全组中，并处于生效状态。如果您不再使用云防火墙服务，建议您前往ECS管理控制台的网络与安全 > 安全组页面，删除云防火墙之前自动添加的这4个放通策略。
- 关联安全组存在配置冲突
  - 配置冲突可调整
    该ECS实例IP所关联的安全组中，存在优先级大于等于100的规则（和待下发的默认规则优先级冲突）。云防火墙会通过将原有安全组规则的优先级调高，解决冲突。
    云防火墙会自动为您调整安全组优先级，无需您手动调整。您只需在安全组默认放通策略页面，单击一键调整，确认后云防火墙自动为您调整安全组优先级。
  - 配置冲突不可调整
    该ECS实例IP所关联的安全组中，存在优先级大于等于100的规则（和待下发的默认规则优先级冲突），但是无法通过调整冲突规则的优先级来解决。
    配置冲突不可调整的情况下，建议您前往ECS管理控制台的安全组页面查看和调整冲突的规则优先级，或加入钉群（群号：33081734），联系产品技术专家进行咨询。
安全组放通配置完成后，您可前往防火墙开关 > 互联网边界防火墙页面，查看您ECS实例所在安全组默认放通策略的下发状态，确定策略是否已成功下发，及时排查未成功下发的问题。
下发状态包含以下几类：
- 已下发：该IP所在的ECS实例关联的所有安全组都成功下发了放通规则（安全组中所有ECS实例在互联网入方向全部都已放通）；如果ECS实例对应多个安全组，需要所有关联的安全组状态都为已下发，该安全组放通规则才能生效。
- 未下发：该IP所在的ECS实例关联的安全组中，有部分安全组存仍未成功下发放通规则（这种情况下，互联网入方向的流量仍然受安全组策略的控制）。关联安全组存在配置冲突或未执行一键下发都可能导致安全组放通规则未成功下发。
- 不支持：该资产类型暂不支持一键下发默认放通安全组规则。目前，除了ECS EIP和ECS Public IP，其他资产类型的IP都不支持该功能，例如：SLB IP、ENI EIP、NAT EIP等不支持默认放通安全组规则。