云防火墙可以防护哪些云资产或流量?

云防火墙可以防护以下云资产或流量:
  • 互联网方向:ECS公网IP、SLB EIP、部分SLB公网IP(详见以下说明)、HAVIP、EIP、ECS EIP、ENI EIP、NAT EIP。
    说明 阿里云提供公网和私网两种类型的负载均衡(SLB)服务。由于历史网络架构的原因,部分公网SLB不支持云防火墙引流,推荐您采用私网SLB加EIP的方案(详细内容请参见绑定EIP),将流量牵引到云防火墙上进行防护。
  • VPC间:已使用云企业网或高速通道连接VPC间通信的流量。

云防火墙是否支持防护经典网络?

互联网边界防火墙和威胁入侵检测(IPS)功能支持防护经典网络。主机边界防火墙支持防护VPC间的流量,不支持防护经典网络。

云防火墙是否支持中国以外的国际站点?

支持。目前,云防火墙支持中国内地和中国香港站点,支持的中国以外的国际站点包括马来西亚、新加坡、印度尼西亚、德国。详细内容请参见产品版本与使用限制

云防火墙是否支持对公网SLB的访问?

阿里云提供公网和私网两种类型的负载均衡(SLB)服务。由于历史网络架构的原因,部分公网SLB不支持云防火墙引流,推荐您采用私网SLB加EIP的方案(详细内容请参见绑定EIP),将流量牵引到云防火墙上进行防护。
说明 对于已使用了公网SLB的用户,云防火墙无法防护来自公网SLB的流量。不建议您自行对网络进行变更处理。如有任何需要,请联系SLB技术支持人员。

采用云防火墙后,数据流为:云防火墙–DNAT(EIP)–私网SLB。

是否支持对私网地址的出方向访问控制?

对于出方向的流量,只能针对DNAT或EIP的公网地址进行策略控制,无法对NAT前的私网源IP进行访问控制。

建议规避方案:如您需对某个私网地址单独做访问控制,建议您针对需要控制的私网源IP地址,单独绑定一个EIP,针对这个EIP做针对性的访问控制策略即可。

是否能针对IPSec的报文进行访问控制?

IPSec解密后的报文,互联网边界防火墙(南北向控制点)无法对其进行防护。

规避方案:把IPSec解密的流量当做是东西向流量,采用云防火墙的主机边界防火墙策略来控制。

是否支持对高速通道(专线VBR)和云企业网的访问控制?

支持。具体说明如下:
  • 高速通道场景下,目前只支持同地域VPC和VPC互访的防护,不支持VPC和VBR互访的防护。
  • 云企业网场景下,支持VPC和VPC、VPC和VBR之间互访的防护。
说明 如果需要云防火墙防护跨地域的VPC间互访或者VPC和VBR互访的流量,您需要将高速通道到云企业网。相关内容请参见已使用对等连接的VPC迁移至云企业网

为什么会有三种云防火墙?

云防火墙是互联网边界防火墙、VPC边界防火墙、主机边界防火墙的统称,为您提供互联网、虚拟网络、主机三种边界防护。

互联网边界防火墙作用于互联网边界,对所有公网IP统一管控;主机防火墙对应安全组,对ECS间通信进行管控。互联网边界防火墙和主机边界防火墙原理图和位置如下:

防火墙原理

VPC边界防火墙作用于VPC边界,对高速通道流量进行管控。VPC边界防火墙原理图和位置如下:

VPC防火墙原理

三种防火墙配合使用,可以精细化地管控数据访问行为,同时也组成了互联网边界-虚拟网络边界-主机边界三层纵深防御体系:

  • 对于需要精细化访问控制的需求,云防火墙提供集中式的访问控制,也就是内对外、外对内访问控制策略,提供了应用、域名等精细化访问控制策略,并可以统一管控所有VPC、所有区域,并提供观察模式、地址簿等优化策略配置功能,配置相对简单。
  • 对于微隔离的访问控制需求,云防火墙提供分布式的访问控制,目前底层利用的是安全组能力,同时提供所有内部流量的可视能力,帮助您优化内对内策略。后续会提供策略的观察模式、拦截访问分析、智能策略等能力。

根据网络边界配置防火墙,便于逻辑分层,同时也方便后续维护。如您只有公网防护需求,就只需要在互联网边界防火墙处配置南北向策略(即内对外或外对内访问控制策略)。如果同时有主机防护需求,可以在主机边界防火墙处配置东西向策略(即策略组访问控制策略)。