互联网边界防火墙的作用是什么?
对于未开启互联网边界防火墙的公网IP资产,网络流量不会经过互联网边界防火墙,只经过主机防火墙(即安全组),最终到达您的ECS实例。
对于开启了互联网边界防火墙的公网IP资产,流量经过边界防火墙检测和过滤后,再经过主机防火墙,最终到达您的ECS实例。如果仅开启互联网边界防火墙开关、未配置云防火墙的访问控制策略也未设置入侵防御策略,云防火墙将仅对该流量进行检测和告警、不会进行拦截。
互联网边界防火墙开关开启或关闭时网络流量路径如下图所示:
开启互联网边界防火墙开关是否会对网络流量产生影响?
购买了云防火墙,互联网边界防火墙开关默认全部开启。如果未进行任何策略配置,您业务的访问流量仅经过云防火墙,云防火墙不会对流量进行任何处理。
关闭互联网边界防火墙开关有什么影响?
互联网边界防火墙页面如下图所示:
关闭互联网边界防火墙开关可能会产生以下影响:
- 页面中,网络流量分析部分图表可能无数据。
- 如果配置了内对外或外对内访问控制策略,关闭互联网边界防火墙开关将会使该主机对应的访问控制策略失效,表现为该访问控制策略的命中次数保持不变。
- 所有流量将不会经过云防火墙,入侵防御功能将会失效。
- 页面中的流量日志页签,将不会显示防火墙开关关闭后的流量数据。
- 所有流量将不会经过云防火墙,网络抓包抓取不到开关关闭后的流量数据,页面中的网络抓包模块也不会展示对应IP的报文信息。详细内容,请参见网络抓包。
相关操作,请参见开启或关闭互联网边界防火墙。
为什么无法开启互联网边界防火墙开关?
现象描述
云防火墙控制台互联网边界防火墙列表中,部分资产无法开启边界防火墙保护(开启保护开关不可操作,并提示由于SLB所在网络限制,该IP所在网络不支持开启防火墙保护)。
问题原因
该SLB资产只有私网IP,不支持开启云防火墙保护,因此部分资产无法开启互联网边界防火墙。
解决方法
对于资产只有私网SLB的情况,建议您采用私网SLB加EIP的方案(相关信息,请参见绑定EIP),将流量牵引到云防火墙上进行防护。
互联网边界防火墙支持防护哪些公网IP类型?
云防火墙支持以下类型的公网IP引流,即可以对您以下类型的公网资产提供防护:
- ENI EIP(支持绑定到专有网络类型的ECS实例、专有网络类型的私网SLB实例、弹性网卡和NAT网关上)
- NatPublicIP(ECS系统分配的公网IP)
- SLB EIP(绑定到专有网络SLB的EIP)
- 堡垒机