云防火墻開關(guān)常見問題
本文介紹開啟或關(guān)閉防火墻開關(guān)時可能遇到的問題,包括開啟防火墻對業(yè)務(wù)的影響、開墻后的路由和流量變化等。
互聯(lián)網(wǎng)邊界防火墻
NAT邊界防火墻
VPC邊界防火墻
開啟防火墻開關(guān)對業(yè)務(wù)有什么影響?
防火墻類型 | 對業(yè)務(wù)的影響 |
互聯(lián)網(wǎng)邊界防火墻 | 創(chuàng)建、開啟及關(guān)閉互聯(lián)網(wǎng)邊界防火墻時,您無需更改當前的網(wǎng)絡(luò)拓撲,可以將資源一鍵秒級接入保護或關(guān)閉保護,對業(yè)務(wù)無影響。 |
NAT邊界防火墻 |
|
高速通道VPC邊界防火墻 基礎(chǔ)版轉(zhuǎn)發(fā)路由器VPC邊界防火墻 |
|
企業(yè)版轉(zhuǎn)發(fā)路由器VPC邊界防火墻 | 自動引流
手動引流
|
為什么當前賬號無法開啟云防火墻?
可能原因
登錄云防火墻控制臺時,頁面提示當前賬號無法開啟云防火墻??赡茉蛉缦拢?/p>
當前賬號為阿里云賬號(主賬號)且已被其他阿里云賬號添加為成員賬號進行統(tǒng)一管理。
當前賬號為RAM用戶(子賬號)且未完成授權(quán)。
解決方案
您可以移動光標到控制臺頁面右上角的登錄賬號頭像處,查看賬號ID。
如果賬號ID是以1開頭的一串數(shù)字,表示該賬號為阿里云賬號(主賬號)。
此時,您需要使用統(tǒng)一管理該賬號的管理員賬號登錄云防火墻控制臺,開通云防火墻服務(wù)后,為成員賬號的云資產(chǎn)開啟防護。具體操作,請參見購買云防火墻服務(wù)。
如果賬號ID是以2開頭的一串數(shù)字,表示該賬號為RAM用戶(子賬號)。您需要使用該賬號所屬的阿里云賬號(主賬號)對該賬號授予createSlr、AliyunYundunCloudFirewallReadOnlyAccess和AliyunYundunCloudFirewallFullAccess權(quán)限。授權(quán)的具體操作,請參見為RAM用戶授權(quán)。
其中,createSlr是自定義權(quán)限策略,需要創(chuàng)建自定義權(quán)限策略,具體的腳本內(nèi)容如下。具體操作,請參見創(chuàng)建自定義權(quán)限策略。
{ "Statement": [ { "Action": [ "ram:CreateServiceLinkedRole" ], "Resource": "acs:ram:*:166032244439****:role/*", "Effect": "Deny", "Condition": { "StringEquals": { "ram:ServiceName": [ "cloudfw.aliyuncs.com" ] } } } ], "Version": "1" }
說明Resource參數(shù)的格式為
acs:ram:*:阿里云賬號(主賬號)ID:role/*
。阿里云賬號(主賬號)ID填寫為RAM用戶(子賬號)所屬的主賬號ID。
互聯(lián)網(wǎng)邊界防火墻的作用是什么?
互聯(lián)網(wǎng)邊界防火墻支持接入多種公網(wǎng)資產(chǎn),例如ECS公網(wǎng)IP、SLB公網(wǎng)IP、EIP等。開啟互聯(lián)網(wǎng)邊界防火墻后,系統(tǒng)將資產(chǎn)出入互聯(lián)網(wǎng)邊界的流量轉(zhuǎn)發(fā)到云防火墻,云防火墻會對流量進行檢測和過濾,只允許滿足放行條件的流量通過。更多內(nèi)容,請參見互聯(lián)網(wǎng)邊界防火墻。
互聯(lián)網(wǎng)邊界防火墻是否支持防護IPv6資產(chǎn)?
支持。互聯(lián)網(wǎng)邊界防火墻支持防護ECS IPv6、SLB IPv6等公網(wǎng)資產(chǎn)。互聯(lián)網(wǎng)邊界防火墻支持防護的資產(chǎn)范圍,請參見防護范圍。
互聯(lián)網(wǎng)邊界防火墻是否會對網(wǎng)絡(luò)流量產(chǎn)生影響?
如果僅開啟互聯(lián)網(wǎng)邊界防火墻開關(guān),未配置互聯(lián)網(wǎng)邊訪問控制策略和入侵防御策略,云防火墻僅對流量進行檢測和告警,不會進行攔截。
購買了云防火墻,互聯(lián)網(wǎng)邊界防火墻開關(guān)默認全部開啟。
關(guān)閉互聯(lián)網(wǎng)邊界防火墻有什么影響?
關(guān)閉互聯(lián)網(wǎng)邊界防火墻,所有流量不會經(jīng)過互聯(lián)網(wǎng)邊界防火墻,將會產(chǎn)生以下影響:
互聯(lián)網(wǎng)邊界防火墻的防護能力將會失效,包括互聯(lián)網(wǎng)邊界出入方向的訪問控制策略、入侵防御等。
互聯(lián)網(wǎng)邊界流量數(shù)據(jù)統(tǒng)計不會更新,包括網(wǎng)絡(luò)流量分析報表、流量日志等。
為什么開啟互聯(lián)網(wǎng)邊界防火墻時提示SLB網(wǎng)絡(luò)限制?
可能原因
在開啟互聯(lián)網(wǎng)邊界防火墻時,控制臺頁面提示由于SLB所在網(wǎng)絡(luò)限制,該IP所在網(wǎng)絡(luò)不支持開啟防火墻保護,可能是因為該SLB資產(chǎn)只有私網(wǎng)IP,不支持開啟云防火墻保護。
解決方案
對于只有私網(wǎng)IP的資產(chǎn),如果需要開啟云防火墻防護,您可以通過綁定EIP,將流量牽引到云防火墻進行防護。具體操作,請參見私網(wǎng)CLB實例綁定和管理EIP。
免費版同步資產(chǎn)后,部分公網(wǎng)IP資產(chǎn)沒有顯示?
云防火墻免費版只能同步EIP資產(chǎn),且新增資產(chǎn)需要T+1天才能同步到云防火墻。無法同步ECS公網(wǎng)IP、SLB公網(wǎng)IP。
開啟VPC邊界防火墻是否會影響ECS安全組規(guī)則?
不會。
開啟VPC邊界防火墻后,云防火墻會自動創(chuàng)建名為Cloud_Firewall_Security_Group的安全組和相應(yīng)的放行策略,用于允許流量通過到VPC邊界防火墻。Cloud_Firewall_Security_Group安全組僅對該VPC內(nèi)的流量進行管控,您在之前創(chuàng)建的ECS安全組規(guī)則仍然有效,不會受到影響。因此,您無需遷移或修改ECS安全組規(guī)則。
創(chuàng)建VPC邊界防火墻時,提示存在未授權(quán)的網(wǎng)絡(luò)實例?
可能原因
云企業(yè)網(wǎng)中存在另一個阿里云賬號下的專有網(wǎng)絡(luò)VPC,并且該阿里云賬號未授權(quán)云防火墻訪問云資源。
解決方案
您通過未授權(quán)的阿里云賬號登錄云防火墻控制臺,根據(jù)頁面提示完成云防火墻服務(wù)角色授權(quán)。具體操作,請參見授權(quán)云防火墻訪問云資源。
基礎(chǔ)版轉(zhuǎn)發(fā)路由器場景,開啟VPC邊界防火墻后多了一條拒絕路由策略?
通過基礎(chǔ)版轉(zhuǎn)發(fā)路由器連接的VPC(假設(shè)為VPC-test)開啟VPC邊界防火墻后,云防火墻會在該基礎(chǔ)版轉(zhuǎn)發(fā)路由器下創(chuàng)建一個名為Cloud_Firewall_VPC的VPC,并發(fā)布靜態(tài)路由,用于將該基礎(chǔ)版轉(zhuǎn)發(fā)路由器下未開墻的VPC流量引入到云防火墻。
同時,云防火墻會在VPC-test內(nèi)添加一條指向云防火墻ENI的靜態(tài)路由,將VPC-test出方向的流量引入到云防火墻;并且創(chuàng)建一條拒絕路由策略,使得VPC-test不再學(xué)習(xí)云企業(yè)網(wǎng)發(fā)布的路由。
請勿修改和刪除上述的路由策略和路由表,否則會影響云防火墻引流,導(dǎo)致業(yè)務(wù)流量不通。
NAT邊界防火墻為什么需要創(chuàng)建路由表和下發(fā)0.0.0.0/0靜態(tài)路由?
開啟NAT邊界防火墻后,云防火墻會自動創(chuàng)建一個名為Cloud_Firewall_ROUTE_TABLE的自定義路由表,并添加路由0.0.0.0/0指向NAT網(wǎng)關(guān),同時會修改系統(tǒng)路由表中的0.0.0.0/0路由條目,將其下一跳將指向云防火墻ENI,目的是將NAT網(wǎng)關(guān)出方向的流量引流到云防火墻。
請勿修改或刪除上述的路由表和路由條目,否則會影響云防火墻引流,導(dǎo)致業(yè)務(wù)流量不通。
同時開啟互聯(lián)網(wǎng)邊界、NAT邊界和DNS邊界防火墻,出方向的流量如何匹配?
同時開啟互聯(lián)網(wǎng)邊界、NAT邊界和DNS邊界防火墻,當ECS發(fā)起域名訪問(出方向流量)時,流量匹配如下:
ECS發(fā)起DNS解析請求,解析請求會經(jīng)過DNS邊界防火墻,匹配DNS邊界防火墻的訪問控制策略。
ECS發(fā)起的私網(wǎng)流量經(jīng)過NAT邊界防火墻,匹配NAT邊界防火墻的訪問控制策略。
允許放行的私網(wǎng)流量經(jīng)過NAT網(wǎng)關(guān),由NAT網(wǎng)關(guān)將私網(wǎng)源IP轉(zhuǎn)換成NAT公網(wǎng)IP。
NAT網(wǎng)關(guān)發(fā)送公網(wǎng)流量到互聯(lián)網(wǎng)邊界防火墻,匹配互聯(lián)網(wǎng)邊界防火墻的訪問控制策略。
流量匹配云防火墻的威脅情報、基礎(chǔ)防御、智能防御和虛擬補丁規(guī)則。
如果在上述過程中,流量未命中任何一個拒絕策略,則該流量成功訪問域名;如果該過程流量命中任何一個拒絕策略時,流量會被拒絕,將無法訪問域名。
如何高效開啟和配置云防火墻互聯(lián)網(wǎng)邊界訪問控制策略?
云計算已成為企業(yè)數(shù)字化轉(zhuǎn)型的必然選擇,更廣泛的云技術(shù)方案構(gòu)成了更復(fù)雜的業(yè)務(wù)架構(gòu),安全邊界變得更加模糊。企業(yè)可通過云防火墻構(gòu)建云上網(wǎng)絡(luò)邊界防護能力,但是如果互聯(lián)網(wǎng)IP數(shù)量多,需要設(shè)置的訪問控制策略會很復(fù)雜。
云防火墻提供了AI智能策略,可以自動學(xué)習(xí)近30日的流量情況、以及云上IP資產(chǎn)、服務(wù)被訪問和主動外聯(lián)的情況,為每個目的IP或域名自動建議合適的互聯(lián)網(wǎng)邊界訪問控制策略,縮小資產(chǎn)在互聯(lián)網(wǎng)中的暴露面,阻斷內(nèi)到外的惡意IP和域名,降低業(yè)務(wù)入侵風(fēng)險。
關(guān)于如何下發(fā)互聯(lián)網(wǎng)邊界防火墻的智能訪問控制策略,請參見配置互聯(lián)網(wǎng)邊界訪問控制策略。