• 功能特性類問題

  • 訪問控制策略授權(quán)規(guī)格是否支持?jǐn)U展？

  • VPC間的防護(hù)流量是否支持?jǐn)U展？

  • 云防火墻是否支持封禁IPv6地址段？

  • 主機(jī)邊界防火墻和安全組有什么區(qū)別？

  • 普通策略組和企業(yè)策略組，有什么區(qū)別？

  • DNS防火墻與訪問控制互聯(lián)網(wǎng)邊界防火墻的出方向策略，有什么區(qū)別？

• 操作類問題

  • 配置了HTTP或HTTPS的出方向域名訪問控制策略，如何驗(yàn)證策略的有效性？

  • 如何解決一鍵下發(fā)安全組默認(rèn)放通策略時(shí)返回失敗問題？

  • 如何解決安全組默認(rèn)放通策略的“配置沖突不可調(diào)整”問題？

  • 如何解決安全組默認(rèn)放通策略的一鍵下發(fā)按鈕置灰問題？

  • 如何解決外部掃描導(dǎo)致的異常外聯(lián)誤報(bào)？

  • 互聯(lián)網(wǎng)邊界防火墻出方向配置了0.0.0.0/0的拒絕策略，為什么還有流量因未命中任何策略而放行？

  • 如何實(shí)現(xiàn)只允許訪問某個(gè)主域名的特定子域名網(wǎng)站？

  • 如何通過云防火墻加強(qiáng)堡壘機(jī)域名的訪問控制？

  • 配置策略有效期時(shí)，如果重復(fù)周期跨天會(huì)生效嗎？

訪問控制策略授權(quán)規(guī)格是否支持?jǐn)U展？

• 如果您的云防火墻版本是云防火墻包年包月版（高級版、企業(yè)版、旗艦版），當(dāng)互聯(lián)網(wǎng)邊界、NAT邊界和VPC邊界的訪問控制策略規(guī)格數(shù)無法滿足業(yè)務(wù)需求時(shí)，您可以訪問云防火墻購買頁，通過購買訪問控制全局?jǐn)U展規(guī)格數(shù)進(jìn)行擴(kuò)展。更多信息，請參見包年包月。

• 如果您的云防火墻版本是云防火墻按量版，暫不支持?jǐn)U展訪問控制策略授權(quán)規(guī)格數(shù)。更多信息，請參見按量付費(fèi)。

VPC間的防護(hù)流量是否支持?jǐn)U展？

支持。

如果已購買的VPC防護(hù)流量無法滿足您的業(yè)務(wù)需求，您可以通過購買VPC流量處理能力進(jìn)行擴(kuò)展。

• 企業(yè)版：基礎(chǔ)價(jià)格默認(rèn)包含200 Mbps，可擴(kuò)容范圍為200~10,000 Mbps。。

• 旗艦版：基礎(chǔ)價(jià)格默認(rèn)包含1,000 Mbps，可擴(kuò)容范圍為1,000~15,000 Mbps。。

云防火墻是否支持封禁IPv6地址段？

云防火墻包年包月版（高級版、企業(yè)版、旗艦版）的互聯(lián)網(wǎng)邊界訪問控制策略，支持針對IPv6地址段的流量進(jìn)行管控，具體操作，請參見配置互聯(lián)網(wǎng)邊界訪問控制策略。

云防火墻按量版暫不支持針對IPv6地址段的流量管控。

DNS防火墻與訪問控制互聯(lián)網(wǎng)邊界防火墻的出方向策略，有什么區(qū)別？

區(qū)別如下：

云防火墻和安全組有什么區(qū)別？

安全組是ECS提供的虛擬主機(jī)防火墻，能夠?qū)CS實(shí)例間的流量進(jìn)行訪問控制。

云防火墻是互聯(lián)網(wǎng)邊界防火墻、NAT邊界防火墻、VPC邊界防火墻、主機(jī)邊界防火墻的統(tǒng)稱，可以提供基于互聯(lián)網(wǎng)邊界、NAT邊界、VPC網(wǎng)絡(luò)邊界、ECS實(shí)例間的流量管控能力，形成全方位的防護(hù)體系。

相比于安全組，云防火墻提供以下特有的功能：

• 支持應(yīng)用級別的訪問控制，允許對HTTP等協(xié)議流量進(jìn)行控制，不受限于特定端口。

• 支持域名級別的訪問控制。例如，能夠配置只允許ECS訪問指定的域名網(wǎng)站。

• 提供入侵防御功能，支持對常見的系統(tǒng)漏洞和暴力破解進(jìn)行防護(hù)。

• 訪問控制策略支持觀察模式，允許監(jiān)控潛在風(fēng)險(xiǎn)流量而不立即阻斷。

• 提供完整的流量日志，并支持對流量進(jìn)行實(shí)時(shí)分析。

• 提供統(tǒng)一平臺安全管控。在云防火墻控制臺配置的主機(jī)邊界防火墻控制策略，會(huì)自動(dòng)同步到ECS的安全組，簡化安全管理流程。

主機(jī)邊界防火墻的普通策略組和企業(yè)策略組有什么區(qū)別？

主機(jī)邊界防火墻（ECS實(shí)例間）訪問控制的策略組對應(yīng)于ECS的安全組，是一種虛擬防火墻，能夠控制ECS實(shí)例的出入站流量。策略組分為普通策略組和企業(yè)策略組，適用于不同的使用場景。

• 普通策略組：對應(yīng)于ECS的普通安全組，支持組內(nèi)互通功能和添加授權(quán)安全組訪問的規(guī)則，但可容納的私網(wǎng)IP數(shù)量小于企業(yè)級安全組。

• 企業(yè)策略組：對應(yīng)于ECS的企業(yè)安全組，企業(yè)級安全組可以容納更多的私網(wǎng)IP地址數(shù)量，但不支持組內(nèi)互通功能，也不支持添加授權(quán)安全組訪問的規(guī)則。

更多信息，請參見普通安全組與企業(yè)級安全組。

配置了HTTP或HTTPS的出方向域名訪問控制策略，如何驗(yàn)證策略的有效性？

使用curl命令或?yàn)g覽器訪問域名進(jìn)行測試。例如，執(zhí)行curl -k "https://www.aliyundoc.com"，然后進(jìn)入云防火墻控制臺查看命中策略的次數(shù)和日志審計(jì)信息。

如何解決一鍵下發(fā)安全組默認(rèn)放通策略失敗的問題？

一鍵下發(fā)安全組默認(rèn)放通策略時(shí)，系統(tǒng)返回失敗，表示該資產(chǎn)IP關(guān)聯(lián)的安全組不支持默認(rèn)放通，可能原因如下：

• 該資產(chǎn)IP關(guān)聯(lián)的安全組為企業(yè)安全組。

  企業(yè)級安全組不支持下發(fā)安全組默認(rèn)放通策略。相關(guān)信息，請參見企業(yè)安全組。

• 該資產(chǎn)IP未開啟互聯(lián)網(wǎng)邊界防火墻保護(hù)開關(guān)。

  為更好地保護(hù)您的資產(chǎn)安全，對于未開啟云防火墻開關(guān)的資源，不建議下發(fā)默認(rèn)放通策略；對于已放通的資源，不建議關(guān)閉云防火墻的防護(hù)開關(guān)。

如何解決安全組默認(rèn)放通策略的“配置沖突不可調(diào)整”問題？

可能原因

該資產(chǎn)IP關(guān)聯(lián)的安全組中的規(guī)則與待下發(fā)規(guī)則的優(yōu)先級、協(xié)議類型、端口范圍、授權(quán)對象均相同。

解決方法

建議您前往ECS管理控制臺的安全組頁面查看和調(diào)整沖突的規(guī)則優(yōu)先級，具體操作，請參見修改安全組規(guī)則?；蛘咛峤?span data-tag="ph" id="74aa01337ccru" docid="2161843" class="ph">工單，聯(lián)系產(chǎn)品技術(shù)專家進(jìn)行咨詢。

如何解決安全組默認(rèn)放通策略的一鍵下發(fā)按鈕置灰問題？

可能原因

存在還未解決沖突的安全組。

解決方法

您需要根據(jù)頁面提示，先解決配置沖突問題后才能一鍵下發(fā)安全組默認(rèn)放通策略。具體操作，請參見互聯(lián)網(wǎng)邊界防火墻。

如何解決外部掃描導(dǎo)致的異常外聯(lián)誤報(bào)？

可能原因

遇到因外部端口掃描而產(chǎn)生的錯(cuò)誤外聯(lián)告警時(shí)，通常是由于入向訪問控制策略設(shè)置不足所致。當(dāng)攻擊者掃描非開放端口，云防火墻可能將服務(wù)器響應(yīng)的端口不可達(dá)ICMP消息誤判為客戶端發(fā)起的外聯(lián)。

外聯(lián)掃描誤報(bào)的原理說明

外聯(lián)掃描誤報(bào)的具體原理說明如下所示：

• 在正常情況下，當(dāng)一個(gè)SYN（同步序列編號）數(shù)據(jù)包送達(dá)一個(gè)開放的端口，服務(wù)器會(huì)回應(yīng)一個(gè)SYN-ACK（同步確認(rèn)）數(shù)據(jù)包。云防火墻會(huì)將SYN和SYN-ACK數(shù)據(jù)包識別為屬于同一連接的部分。

• 當(dāng)攻擊者掃描一個(gè)未開放的端口，服務(wù)器或者網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）設(shè)備會(huì)回應(yīng)一個(gè)表示端口不可達(dá)的ICMP（互聯(lián)網(wǎng)控制消息協(xié)議）數(shù)據(jù)包。云防火墻不能將這個(gè)ICMP響應(yīng)與任何特定的入向請求關(guān)聯(lián)起來，因此可能錯(cuò)誤地認(rèn)定這個(gè)ICMP數(shù)據(jù)包是從客戶端發(fā)起的一次主動(dòng)外聯(lián)連接嘗試。如果掃描的來源IP地址在威脅情報(bào)庫中，就會(huì)觸發(fā)異常外聯(lián)的告警。

解決辦法

為減少此類誤報(bào)，應(yīng)當(dāng)強(qiáng)化入方向的訪問控制，嚴(yán)格管理未開放端口，僅放行需開放的端口，其他端口均封禁。具體操作，請參見配置互聯(lián)網(wǎng)邊界訪問控制策略。

互聯(lián)網(wǎng)邊界防火墻出方向配置了0.0.0.0/0的拒絕策略，為什么還有流量因未命中任何策略而放行？

可能原因

• 觸發(fā)了域名等待

  當(dāng)配置了高優(yōu)先級的域名策略，流量和策略匹配成功了源IP、目的端口和應(yīng)用，但未識別出域名。此時(shí)，流量默認(rèn)放行，目的是在后續(xù)流量匹配中，盡可能識別出域名。

• 觸發(fā)了應(yīng)用等待

  當(dāng)配置了高優(yōu)先級的應(yīng)用策略，流量和策略匹配成功了源IP、目的IP和端口，但未識別出應(yīng)用。此時(shí)，流量默認(rèn)放行，目的是在后續(xù)流量匹配中，盡可能識別出應(yīng)用。

解決辦法

• 您可以配置訪問控制的嚴(yán)格模式。

  對命中已配置的訪問控制策略的流量，如果存在未識別出應(yīng)用類型或者域名的流量，將會(huì)繼續(xù)匹配其他訪問控制策略；如果有配置拒絕策略，將拒絕未識別unknown流量業(yè)務(wù)訪問。具體操作，請參見訪問控制引擎模式介紹。

• 您可以放棄七層策略，只使用四層策略。

  配置訪問策略時(shí)，應(yīng)用選擇ANY，目的不設(shè)置域名。當(dāng)流量匹配到這條四層策略時(shí)，就會(huì)按照配置的策略動(dòng)作執(zhí)行。具體操作，請參見配置互聯(lián)網(wǎng)邊界訪問控制策略。

如何實(shí)現(xiàn)只允許訪問某個(gè)主域名的特定子域名網(wǎng)站？

以xyz.com域名為例，需要配置只允許訪問abc.xyz.com域名的網(wǎng)頁，此時(shí)，您可以按照以下操作配置：

1. 創(chuàng)建一條拒絕*.xyz.com域名的訪問控制策略，將其優(yōu)先級置為最后。

2. 創(chuàng)建一條放行abc.xyz.com域名的訪問控制策略，將其優(yōu)先級置為最前。

需要確保放行特定子域名的策略優(yōu)先級高于拒絕其他網(wǎng)站的策略。關(guān)于如何配置訪問控制策略，請參見配置互聯(lián)網(wǎng)邊界訪問控制策略。

如何通過云防火墻加強(qiáng)堡壘機(jī)域名的訪問控制？

配置策略有效期時(shí)，如果重復(fù)周期跨天會(huì)生效嗎？

如果設(shè)置的重復(fù)周期跨天，生效時(shí)間規(guī)則為：只要設(shè)置的開始時(shí)間在重復(fù)周期內(nèi)，即使結(jié)束時(shí)間跨天，超出所選的每天、每周、每月范圍，生效時(shí)間也會(huì)延遲到設(shè)置的結(jié)束時(shí)間。

示例：如果您設(shè)置的重復(fù)周期為：每周二，18:00-08:00(+1)，生效日期為：2024.08.20-2024.08.22，則生效時(shí)間為：2024.08.20 18:00~2024.08.21 08:00。