訪問控制策略常見問題
本文介紹使用云防火墻訪問控制策略管控業(yè)務(wù)流量時(shí)可能遇到的問題及其解決方案。
訪問控制策略授權(quán)規(guī)格是否支持?jǐn)U展?
VPC間的防護(hù)流量是否支持?jǐn)U展?
支持。
如果已購買的VPC防護(hù)流量無法滿足您的業(yè)務(wù)需求,您可以通過購買VPC流量處理能力進(jìn)行擴(kuò)展。
企業(yè)版:基礎(chǔ)價(jià)格默認(rèn)包含200 Mbps,可擴(kuò)容范圍為200~10,000 Mbps。。
旗艦版:基礎(chǔ)價(jià)格默認(rèn)包含1,000 Mbps,可擴(kuò)容范圍為1,000~15,000 Mbps。。
云防火墻是否支持封禁IPv6地址段?
云防火墻包年包月版(高級版、企業(yè)版、旗艦版)的互聯(lián)網(wǎng)邊界訪問控制策略,支持針對IPv6地址段的流量進(jìn)行管控,具體操作,請參見配置互聯(lián)網(wǎng)邊界訪問控制策略。
云防火墻按量版暫不支持針對IPv6地址段的流量管控。
DNS防火墻與訪問控制互聯(lián)網(wǎng)邊界防火墻的出方向策略,有什么區(qū)別?
區(qū)別如下:
策略類型 | DNS邊界訪問控制策略 | 互聯(lián)網(wǎng)邊界訪問控制策略 |
管控范圍 | 僅用于管控內(nèi)網(wǎng)服務(wù)器的DNS流量。 | 用于管控公網(wǎng)資產(chǎn)IP訪問互聯(lián)網(wǎng)指定的域名、IP地址或區(qū)域。 |
支持的地域 | 支持的地域不同,互聯(lián)網(wǎng)邊界防火墻覆蓋的地域多于DNS邊界防火墻。具體內(nèi)容,請參見支持的地域。 | |
商業(yè)化 | 邀測階段,需要聯(lián)系商務(wù)經(jīng)理,申請開通。 | 已正式發(fā)布,購買云防火墻付費(fèi)版后即可使用。 |
云防火墻和安全組有什么區(qū)別?
安全組是ECS提供的虛擬主機(jī)防火墻,能夠?qū)CS實(shí)例間的流量進(jìn)行訪問控制。
云防火墻是互聯(lián)網(wǎng)邊界防火墻、NAT邊界防火墻、VPC邊界防火墻、主機(jī)邊界防火墻的統(tǒng)稱,可以提供基于互聯(lián)網(wǎng)邊界、NAT邊界、VPC網(wǎng)絡(luò)邊界、ECS實(shí)例間的流量管控能力,形成全方位的防護(hù)體系。
相比于安全組,云防火墻提供以下特有的功能:
支持應(yīng)用級別的訪問控制,允許對HTTP等協(xié)議流量進(jìn)行控制,不受限于特定端口。
支持域名級別的訪問控制。例如,能夠配置只允許ECS訪問指定的域名網(wǎng)站。
提供入侵防御功能,支持對常見的系統(tǒng)漏洞和暴力破解進(jìn)行防護(hù)。
訪問控制策略支持觀察模式,允許監(jiān)控潛在風(fēng)險(xiǎn)流量而不立即阻斷。
提供完整的流量日志,并支持對流量進(jìn)行實(shí)時(shí)分析。
提供統(tǒng)一平臺安全管控。在云防火墻控制臺配置的主機(jī)邊界防火墻控制策略,會(huì)自動(dòng)同步到ECS的安全組,簡化安全管理流程。
主機(jī)邊界防火墻的普通策略組和企業(yè)策略組有什么區(qū)別?
主機(jī)邊界防火墻(ECS實(shí)例間)訪問控制的策略組對應(yīng)于ECS的安全組,是一種虛擬防火墻,能夠控制ECS實(shí)例的出入站流量。策略組分為普通策略組和企業(yè)策略組,適用于不同的使用場景。
普通策略組:對應(yīng)于ECS的普通安全組,支持組內(nèi)互通功能和添加授權(quán)安全組訪問的規(guī)則,但可容納的私網(wǎng)IP數(shù)量小于企業(yè)級安全組。
企業(yè)策略組:對應(yīng)于ECS的企業(yè)安全組,企業(yè)級安全組可以容納更多的私網(wǎng)IP地址數(shù)量,但不支持組內(nèi)互通功能,也不支持添加授權(quán)安全組訪問的規(guī)則。
更多信息,請參見普通安全組與企業(yè)級安全組。
配置了HTTP或HTTPS的出方向域名訪問控制策略,如何驗(yàn)證策略的有效性?
使用curl命令或?yàn)g覽器訪問域名進(jìn)行測試。例如,執(zhí)行curl -k "https://www.aliyundoc.com"
,然后進(jìn)入云防火墻控制臺查看命中策略的次數(shù)和日志審計(jì)信息。
請勿使用telnet命令進(jìn)行域名測試。使用telnet命令對域名和端口進(jìn)行測試時(shí)(例如telnet example.com 80
),只會(huì)生成TCP握手流量,并不會(huì)模擬完整的HTTP或HTTPS請求,此時(shí)應(yīng)用類型識別為Unknown,不會(huì)被HTTP或HTTPS應(yīng)用策略命中。
如何解決一鍵下發(fā)安全組默認(rèn)放通策略失敗的問題?
一鍵下發(fā)安全組默認(rèn)放通策略時(shí),系統(tǒng)返回失敗,表示該資產(chǎn)IP關(guān)聯(lián)的安全組不支持默認(rèn)放通,可能原因如下:
該資產(chǎn)IP關(guān)聯(lián)的安全組為企業(yè)安全組。
企業(yè)級安全組不支持下發(fā)安全組默認(rèn)放通策略。相關(guān)信息,請參見企業(yè)安全組。
該資產(chǎn)IP未開啟互聯(lián)網(wǎng)邊界防火墻保護(hù)開關(guān)。
為更好地保護(hù)您的資產(chǎn)安全,對于未開啟云防火墻開關(guān)的資源,不建議下發(fā)默認(rèn)放通策略;對于已放通的資源,不建議關(guān)閉云防火墻的防護(hù)開關(guān)。
如何解決安全組默認(rèn)放通策略的“配置沖突不可調(diào)整”問題?
可能原因
該資產(chǎn)IP關(guān)聯(lián)的安全組中的規(guī)則與待下發(fā)規(guī)則的優(yōu)先級、協(xié)議類型、端口范圍、授權(quán)對象均相同。
解決方法
建議您前往ECS管理控制臺的安全組頁面查看和調(diào)整沖突的規(guī)則優(yōu)先級,具體操作,請參見修改安全組規(guī)則?;蛘咛峤?span data-tag="ph" id="74aa01337ccru" docid="2161843" class="ph">工單,聯(lián)系產(chǎn)品技術(shù)專家進(jìn)行咨詢。
如何解決安全組默認(rèn)放通策略的一鍵下發(fā)按鈕置灰問題?
可能原因
存在還未解決沖突的安全組。
解決方法
您需要根據(jù)頁面提示,先解決配置沖突問題后才能一鍵下發(fā)安全組默認(rèn)放通策略。具體操作,請參見互聯(lián)網(wǎng)邊界防火墻。
如何解決外部掃描導(dǎo)致的異常外聯(lián)誤報(bào)?
可能原因
遇到因外部端口掃描而產(chǎn)生的錯(cuò)誤外聯(lián)告警時(shí),通常是由于入向訪問控制策略設(shè)置不足所致。當(dāng)攻擊者掃描非開放端口,云防火墻可能將服務(wù)器響應(yīng)的端口不可達(dá)ICMP消息誤判為客戶端發(fā)起的外聯(lián)。
外聯(lián)掃描誤報(bào)的具體原理說明如下所示:
在正常情況下,當(dāng)一個(gè)SYN(同步序列編號)數(shù)據(jù)包送達(dá)一個(gè)開放的端口,服務(wù)器會(huì)回應(yīng)一個(gè)SYN-ACK(同步確認(rèn))數(shù)據(jù)包。云防火墻會(huì)將SYN和SYN-ACK數(shù)據(jù)包識別為屬于同一連接的部分。
當(dāng)攻擊者掃描一個(gè)未開放的端口,服務(wù)器或者網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)設(shè)備會(huì)回應(yīng)一個(gè)表示端口不可達(dá)的ICMP(互聯(lián)網(wǎng)控制消息協(xié)議)數(shù)據(jù)包。云防火墻不能將這個(gè)ICMP響應(yīng)與任何特定的入向請求關(guān)聯(lián)起來,因此可能錯(cuò)誤地認(rèn)定這個(gè)ICMP數(shù)據(jù)包是從客戶端發(fā)起的一次主動(dòng)外聯(lián)連接嘗試。如果掃描的來源IP地址在威脅情報(bào)庫中,就會(huì)觸發(fā)異常外聯(lián)的告警。
解決辦法
為減少此類誤報(bào),應(yīng)當(dāng)強(qiáng)化入方向的訪問控制,嚴(yán)格管理未開放端口,僅放行需開放的端口,其他端口均封禁。具體操作,請參見配置互聯(lián)網(wǎng)邊界訪問控制策略。
互聯(lián)網(wǎng)邊界防火墻出方向配置了0.0.0.0/0的拒絕策略,為什么還有流量因未命中任何策略而放行?
可能原因
觸發(fā)了域名等待
當(dāng)配置了高優(yōu)先級的域名策略,流量和策略匹配成功了源IP、目的端口和應(yīng)用,但未識別出域名。此時(shí),流量默認(rèn)放行,目的是在后續(xù)流量匹配中,盡可能識別出域名。
觸發(fā)了應(yīng)用等待
當(dāng)配置了高優(yōu)先級的應(yīng)用策略,流量和策略匹配成功了源IP、目的IP和端口,但未識別出應(yīng)用。此時(shí),流量默認(rèn)放行,目的是在后續(xù)流量匹配中,盡可能識別出應(yīng)用。
解決辦法
您可以配置訪問控制的嚴(yán)格模式。
對命中已配置的訪問控制策略的流量,如果存在未識別出應(yīng)用類型或者域名的流量,將會(huì)繼續(xù)匹配其他訪問控制策略;如果有配置拒絕策略,將拒絕未識別unknown流量業(yè)務(wù)訪問。具體操作,請參見訪問控制引擎模式介紹。
您可以放棄七層策略,只使用四層策略。
配置訪問策略時(shí),應(yīng)用選擇ANY,目的不設(shè)置域名。當(dāng)流量匹配到這條四層策略時(shí),就會(huì)按照配置的策略動(dòng)作執(zhí)行。具體操作,請參見配置互聯(lián)網(wǎng)邊界訪問控制策略。
如何實(shí)現(xiàn)只允許訪問某個(gè)主域名的特定子域名網(wǎng)站?
以xyz.com域名為例,需要配置只允許訪問abc.xyz.com域名的網(wǎng)頁,此時(shí),您可以按照以下操作配置:
創(chuàng)建一條拒絕
*.xyz.com
域名的訪問控制策略,將其優(yōu)先級置為最后。創(chuàng)建一條放行
abc.xyz.com
域名的訪問控制策略,將其優(yōu)先級置為最前。
需要確保放行特定子域名的策略優(yōu)先級高于拒絕其他網(wǎng)站的策略。關(guān)于如何配置訪問控制策略,請參見配置互聯(lián)網(wǎng)邊界訪問控制策略。
如何通過云防火墻加強(qiáng)堡壘機(jī)域名的訪問控制?
堡壘機(jī)作為綜合性運(yùn)維管控平臺,提供運(yùn)維身份鑒別、賬號管控、系統(tǒng)操作審計(jì)等多種功能。由于堡壘機(jī)存儲和管理了大量賬號等敏感信息,經(jīng)常成為黑客攻擊的目標(biāo)。新版堡壘機(jī)通過域名方式提供訪問服務(wù),可能面臨外部用戶在非授權(quán)的情況下訪問堡壘機(jī),從而獲取對大量資產(chǎn)的訪問權(quán)限。
建議通過云防火墻實(shí)現(xiàn)用戶對堡壘機(jī)域名的訪問控制。如果客戶購買了堡壘機(jī)和云防火墻,云防火墻的資產(chǎn)類型自動(dòng)增加堡壘機(jī),且自動(dòng)同步堡壘機(jī)到云防火墻資產(chǎn)列表。通過云防火墻對堡壘機(jī)實(shí)施訪問控制、IPS、網(wǎng)絡(luò)流量分析,實(shí)現(xiàn)對堡壘機(jī)公網(wǎng)IP進(jìn)行統(tǒng)一管理和保護(hù)。
訪問控制:
配置互聯(lián)網(wǎng)邊界防火墻外到內(nèi)策略,允許互聯(lián)網(wǎng)或指定區(qū)域的互聯(lián)網(wǎng)訪問堡壘機(jī)的開放端口。
配置互聯(lián)網(wǎng)邊界防火墻內(nèi)到外策略,允許堡壘機(jī)訪問公網(wǎng)IP。
入侵防護(hù):在防火墻開關(guān)處打開堡壘機(jī)的保護(hù),使進(jìn)入、流出堡壘機(jī)的流量都經(jīng)過云防火墻的保護(hù)。
配置策略有效期時(shí),如果重復(fù)周期跨天會(huì)生效嗎?
如果設(shè)置的重復(fù)周期跨天,生效時(shí)間規(guī)則為:只要設(shè)置的開始時(shí)間在重復(fù)周期內(nèi),即使結(jié)束時(shí)間跨天,超出所選的每天、每周、每月范圍,生效時(shí)間也會(huì)延遲到設(shè)置的結(jié)束時(shí)間。
示例:如果您設(shè)置的重復(fù)周期為:每周二,18:00-08:00(+1),生效日期為:2024.08.20-2024.08.22,則生效時(shí)間為:2024.08.20 18:00~2024.08.21 08:00。