互联网边界防火墙的作用是什么?
对于未开启互联网边界防火墙的公网IP资产,网络流量不会经过互联网边界防火墙,只经过主机防火墙(即安全组),最终到达用户ECS。
对于开启了互联网边界防火墙的公网IP资产,流量经过边界防火墙检测和过滤后,再经过主机防火墙,最终到达用户ECS。如果仅开启互联网边界防火墙开关、未配置云防火墙的访问控制策略也未设置入侵防御策略,云防火墙将仅对该流量进行检测和告警、不会进行拦截。
互联网边界防火墙开关开启或关闭时网络流量路径如下图所示:
开启互联网边界防火墙开关是否会对网络流量产生影响?
无论是开启互联网边界防火墙和VPC边界防火墙都不会对网络流量产生任何影响。
关闭互联网边界防火墙开关有什么影响?
互联网边界防火墙页面如下图所示:
关闭互联网边界防火墙开关可能会产生以下影响:
- 页面中,网络流量分析部分图表可能无数据。
- 如果配置了内对外流量或外对内流量访问控制策略,关闭互联网边界防火墙开关将会使该主机对应的访问控制策略失效,表现为该访问控制策略的命中次数保持不变。
- 所有流量将不会经过云防火墙,入侵防御功能将会失效。
IPS即使设置成了观察模式,也不会再去检测该服务器的流量了;如果设置为拦截模式,拦截模式也会失效。
- 页面中将不会显示防火墙开关关闭后的流量数据。
- 所有流量将不会经过云防火墙,网络抓包抓取不到开关关闭后的流量数据,页面也不会展示对应IP的报文信息。详细内容请参见网络抓包。
详细操作参见开启或关闭互联网边界防火墙。
为什么无法开启互联网边界防火墙开关?
现象描述
云防火墙控制台互联网边界防火墙列表中,部分资产无法开启边界防火墙保护(开启保护开关不可点击,并提示由于SLB所在网络限制,该IP所在网络不支持开启防火墙保护)。
问题原因
该SLB资产只有私网IP,不支持开启云防火墙保护,因此部分资产IP在互联网边界防火墙开关处无法开启。
解决方法
对于资产只有私网SLB的情况,建议您采用私网SLB加EIP的方案(详细内容请参见绑定EIP),将流量牵引到云防火墙上进行防护。
互联网边界防火墙支持防护哪些公网IP类型?
云防火墙支持以下类型的公网IP引流,即可以对您以下类型的公网资产提供防护。
- ENI EIP(支持绑定到专有网络类型的ECS实例、专有网络类型的私网SLB实例、弹性网卡和NAT网关上)
- NatPublicIP(ECS系统分配的公网IP)
- SLB EIP(绑定到专有网络SLB的EIP)
- 堡垒机