互联网边界防火墙的作用是什么?

对于未开启互联网边界防火墙的公网IP资产,网络流量不会经过互联网边界防火墙,只经过主机防火墙(即安全组),最终到达用户ECS。

对于开启了互联网边界防火墙的公网IP资产,流量经过边界防火墙检测和过滤后,再经过主机防火墙,最终到达用户ECS。如果仅开启互联网边界防火墙开关、未配置云防火墙的访问控制策略也未设置入侵防御策略,云防火墙将仅对该流量进行检测和告警、不会进行拦截。

互联网边界防火墙开关开启或关闭时网络流量路径如下图所示:

开启互联网边界防火墙开关是否会对网络流量产生影响?

无论是开启互联网边界防火墙和VPC边界防火墙都不会对网络流量产生任何影响。

关闭互联网边界防火墙开关有什么影响?

互联网边界防火墙页面如下图所示:

防火墙开关

关闭互联网边界防火墙开关可能会产生以下影响:

  • 网络流量分析 > 互联网访问活动页面中,网络流量分析部分图表可能无数据。
  • 如果配置了内对外流量外对内流量访问控制策略,关闭互联网边界防火墙开关将会使该主机对应的访问控制策略失效,表现为该访问控制策略的命中次数保持不变。
  • 所有流量将不会经过云防火墙,入侵防御功能将会失效。

    IPS即使设置成了观察模式,也不会再去检测该服务器的流量了;如果设置为拦截模式,拦截模式也会失效。

  • 日志 > 流量日志页面中将不会显示防火墙开关关闭后的流量数据。
  • 所有流量将不会经过云防火墙,网络抓包抓取不到开关关闭后的流量数据,工具 > 网络抓包页面也不会展示对应IP的报文信息。详细内容请参见网络抓包

详细操作参见开启或关闭互联网边界防火墙

为什么无法开启互联网边界防火墙开关?

现象描述

云防火墙控制台互联网边界防火墙列表中,部分资产无法开启边界防火墙保护(开启保护开关不可点击,并提示由于SLB所在网络限制,该IP所在网络不支持开启防火墙保护)。互联网边界防火无法开启

问题原因

由于SLB所在网络的限制,该IP不支持开启云防火墙保护,因此部分资产IP在互联网边界防火墙开关处无法开启。有以下几点原因:
  • 该资产所在的SLB网络集群由于网络架构的历史原因,暂不支持云防火墙集群引流。
  • 该资产只有私网IP。

解决方法

对于资产只有私网SLB的情况,建议您采用私网SLB加EIP的方案(详细内容请参见绑定EIP),将流量牵引到云防火墙上进行防护。

互联网边界防火墙支持防护哪些公网IP类型?

云防火墙支持以下类型的公网IP引流,即可以对您以下类型的公网资产提供防护。
  • ENI EIP(支持绑定到专有网络类型的ECS实例、专有网络类型的私网SLB实例、弹性网卡和NAT网关上)
  • NatPublicIP(ECS系统分配的公网IP)
  • SLB EIP(绑定到专有网络SLB的EIP)
  • 堡垒机