日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
有獎?wù){(diào)研
輸入文檔關(guān)鍵字查找
首頁 云防火墻 操作指南 防火墻開關(guān) 云防火墻開關(guān)常見問題

云防火墻開關(guān)常見問題

更新時間:
產(chǎn)品詳情
相關(guān)技術(shù)圈
我的收藏

本文介紹開啟或關(guān)閉防火墻開關(guān)時可能遇到的問題,包括開啟防火墻對業(yè)務(wù)的影響、開墻后的路由和流量變化等。

開啟防火墻開關(guān)對業(yè)務(wù)有什么影響?

防火墻類型

對業(yè)務(wù)的影響

互聯(lián)網(wǎng)邊界防火墻

創(chuàng)建、開啟及關(guān)閉互聯(lián)網(wǎng)邊界防火墻時,您無需更改當前的網(wǎng)絡(luò)拓撲,可以將資源一鍵秒級接入保護或關(guān)閉保護,對業(yè)務(wù)無影響。

NAT邊界防火墻

  • 創(chuàng)建NAT邊界防火墻、關(guān)閉后刪除NAT邊界防火墻對業(yè)務(wù)無影響。

    創(chuàng)建時長與NAT網(wǎng)關(guān)綁定的EIP數(shù)量有關(guān),每增加一個EIP,創(chuàng)建時間約增加2~5分鐘。

  • 開啟和關(guān)閉NAT邊界防火墻,預(yù)計需要10秒鐘左右,過程中會出現(xiàn)1~2秒的長連接閃斷,短連接無影響。

高速通道VPC邊界防火墻

基礎(chǔ)版轉(zhuǎn)發(fā)路由器VPC邊界防火墻

  • 創(chuàng)建VPC邊界防火墻、關(guān)閉后刪除VPC邊界防火墻對業(yè)務(wù)無影響。

    創(chuàng)建時長約5分鐘。

  • 開啟和關(guān)閉VPC邊界防火墻,預(yù)計約需要5~30分鐘(取決于路由條目數(shù)),過程中會出現(xiàn)長連接秒級閃斷,短連接無影響。

    說明

    建議在開啟VPC邊界防火墻之前檢查您的應(yīng)用程序是否支持TCP自動重傳機制,并密切關(guān)注應(yīng)用連接狀態(tài),以避免由于未配置重傳機制而導(dǎo)致的連接中斷。

企業(yè)版轉(zhuǎn)發(fā)路由器VPC邊界防火墻

自動引流

  • 創(chuàng)建VPC邊界防火墻、關(guān)閉后刪除VPC邊界防火墻對業(yè)務(wù)無影響。

    創(chuàng)建時長約5分鐘。

  • 開啟和關(guān)閉VPC邊界防火墻,預(yù)計約需要5~30分鐘(取決于路由條目數(shù)),對業(yè)務(wù)無影響。

手動引流

  • 創(chuàng)建VPC邊界防火墻、關(guān)閉后刪除VPC邊界防火墻對業(yè)務(wù)無影響。

    創(chuàng)建時長約5分鐘。

  • 開啟和關(guān)閉VPC邊界防火墻,業(yè)務(wù)影響時間不定,取決于切流方式。

為什么當前賬號無法開啟云防火墻?

可能原因

登錄云防火墻控制臺時,頁面提示當前賬號無法開啟云防火墻??赡茉蛉缦拢?/p>

  • 當前賬號為阿里云賬號(主賬號)且已被其他阿里云賬號添加為成員賬號進行統(tǒng)一管理。

  • 當前賬號為RAM用戶(子賬號)且未完成授權(quán)。

解決方案

您可以移動光標到控制臺頁面右上角的登錄賬號頭像處,查看賬號ID。

  • 如果賬號ID是以1開頭的一串數(shù)字,表示該賬號為阿里云賬號(主賬號)。

    此時,您需要使用統(tǒng)一管理該賬號的管理員賬號登錄云防火墻控制臺,開通云防火墻服務(wù)后,為成員賬號的云資產(chǎn)開啟防護。具體操作,請參見購買云防火墻服務(wù)。

  • 如果賬號ID是以2開頭的一串數(shù)字,表示該賬號為RAM用戶(子賬號)。您需要使用該賬號所屬的阿里云賬號(主賬號)對該賬號授予createSlr、AliyunYundunCloudFirewallReadOnlyAccessAliyunYundunCloudFirewallFullAccess權(quán)限。授權(quán)的具體操作,請參見為RAM用戶授權(quán)

    其中,createSlr是自定義權(quán)限策略,需要創(chuàng)建自定義權(quán)限策略,具體的腳本內(nèi)容如下。具體操作,請參見創(chuàng)建自定義權(quán)限策略。

    {
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:166032244439****:role/*",
            "Effect": "Deny",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "cloudfw.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}
    說明

    Resource參數(shù)的格式為acs:ram:*:阿里云賬號(主賬號)ID:role/*。阿里云賬號(主賬號)ID填寫為RAM用戶(子賬號)所屬的主賬號ID。

互聯(lián)網(wǎng)邊界防火墻的作用是什么?

互聯(lián)網(wǎng)邊界防火墻支持接入多種公網(wǎng)資產(chǎn),例如ECS公網(wǎng)IP、SLB公網(wǎng)IP、EIP等。開啟互聯(lián)網(wǎng)邊界防火墻后,系統(tǒng)將資產(chǎn)出入互聯(lián)網(wǎng)邊界的流量轉(zhuǎn)發(fā)到云防火墻,云防火墻會對流量進行檢測和過濾,只允許滿足放行條件的流量通過。更多內(nèi)容,請參見互聯(lián)網(wǎng)邊界防火墻。

互聯(lián)網(wǎng)邊界防火墻是否支持防護IPv6資產(chǎn)?

支持。互聯(lián)網(wǎng)邊界防火墻支持防護ECS IPv6、SLB IPv6等公網(wǎng)資產(chǎn)。互聯(lián)網(wǎng)邊界防火墻支持防護的資產(chǎn)范圍,請參見防護范圍。

互聯(lián)網(wǎng)邊界防火墻是否會對網(wǎng)絡(luò)流量產(chǎn)生影響?

如果僅開啟互聯(lián)網(wǎng)邊界防火墻開關(guān),未配置互聯(lián)網(wǎng)邊訪問控制策略和入侵防御策略,云防火墻僅對流量進行檢測和告警,不會進行攔截。

購買了云防火墻,互聯(lián)網(wǎng)邊界防火墻開關(guān)默認全部開啟。

關(guān)閉互聯(lián)網(wǎng)邊界防火墻有什么影響?

關(guān)閉互聯(lián)網(wǎng)邊界防火墻,所有流量不會經(jīng)過互聯(lián)網(wǎng)邊界防火墻,將會產(chǎn)生以下影響:

  • 互聯(lián)網(wǎng)邊界防火墻的防護能力將會失效,包括互聯(lián)網(wǎng)邊界出入方向的訪問控制策略、入侵防御等。

  • 互聯(lián)網(wǎng)邊界流量數(shù)據(jù)統(tǒng)計不會更新,包括網(wǎng)絡(luò)流量分析報表、流量日志等。

為什么開啟互聯(lián)網(wǎng)邊界防火墻時提示SLB網(wǎng)絡(luò)限制?

可能原因

在開啟互聯(lián)網(wǎng)邊界防火墻時,控制臺頁面提示由于SLB所在網(wǎng)絡(luò)限制,該IP所在網(wǎng)絡(luò)不支持開啟防火墻保護,可能是因為該SLB資產(chǎn)只有私網(wǎng)IP,不支持開啟云防火墻保護。

解決方案

對于只有私網(wǎng)IP的資產(chǎn),如果需要開啟云防火墻防護,您可以通過綁定EIP,將流量牽引到云防火墻進行防護。具體操作,請參見私網(wǎng)CLB實例綁定和管理EIP。

免費版同步資產(chǎn)后,部分公網(wǎng)IP資產(chǎn)沒有顯示?

云防火墻免費版只能同步EIP資產(chǎn),且新增資產(chǎn)需要T+1天才能同步到云防火墻。無法同步ECS公網(wǎng)IP、SLB公網(wǎng)IP。

開啟VPC邊界防火墻是否會影響ECS安全組規(guī)則?

不會。

開啟VPC邊界防火墻后,云防火墻會自動創(chuàng)建名為Cloud_Firewall_Security_Group的安全組和相應(yīng)的放行策略,用于允許流量通過到VPC邊界防火墻。Cloud_Firewall_Security_Group安全組僅對該VPC內(nèi)的流量進行管控,您在之前創(chuàng)建的ECS安全組規(guī)則仍然有效,不會受到影響。因此,您無需遷移或修改ECS安全組規(guī)則。

創(chuàng)建VPC邊界防火墻時,提示存在未授權(quán)的網(wǎng)絡(luò)實例?

可能原因

云企業(yè)網(wǎng)中存在另一個阿里云賬號下的專有網(wǎng)絡(luò)VPC,并且該阿里云賬號未授權(quán)云防火墻訪問云資源。

解決方案

您通過未授權(quán)的阿里云賬號登錄云防火墻控制臺,根據(jù)頁面提示完成云防火墻服務(wù)角色授權(quán)。具體操作,請參見授權(quán)云防火墻訪問云資源

基礎(chǔ)版轉(zhuǎn)發(fā)路由器場景,開啟VPC邊界防火墻后多了一條拒絕路由策略?

通過基礎(chǔ)版轉(zhuǎn)發(fā)路由器連接的VPC(假設(shè)為VPC-test)開啟VPC邊界防火墻后,云防火墻會在該基礎(chǔ)版轉(zhuǎn)發(fā)路由器下創(chuàng)建一個名為Cloud_Firewall_VPC的VPC,并發(fā)布靜態(tài)路由,用于將該基礎(chǔ)版轉(zhuǎn)發(fā)路由器下未開墻的VPC流量引入到云防火墻。

同時,云防火墻會在VPC-test內(nèi)添加一條指向云防火墻ENI的靜態(tài)路由,將VPC-test出方向的流量引入到云防火墻;并且創(chuàng)建一條拒絕路由策略,使得VPC-test不再學(xué)習(xí)云企業(yè)網(wǎng)發(fā)布的路由。

重要

請勿修改和刪除上述的路由策略和路由表,否則會影響云防火墻引流,導(dǎo)致業(yè)務(wù)流量不通。

NAT邊界防火墻為什么需要創(chuàng)建路由表和下發(fā)0.0.0.0/0靜態(tài)路由?

開啟NAT邊界防火墻后,云防火墻會自動創(chuàng)建一個名為Cloud_Firewall_ROUTE_TABLE的自定義路由表,并添加路由0.0.0.0/0指向NAT網(wǎng)關(guān),同時會修改系統(tǒng)路由表中的0.0.0.0/0路由條目,將其下一跳將指向云防火墻ENI,目的是將NAT網(wǎng)關(guān)出方向的流量引流到云防火墻。

重要

請勿修改或刪除上述的路由表和路由條目,否則會影響云防火墻引流,導(dǎo)致業(yè)務(wù)流量不通。

同時開啟互聯(lián)網(wǎng)邊界、NAT邊界和DNS邊界防火墻,出方向的流量如何匹配?

同時開啟互聯(lián)網(wǎng)邊界、NAT邊界和DNS邊界防火墻,當ECS發(fā)起域名訪問(出方向流量)時,流量匹配如下:

  1. ECS發(fā)起DNS解析請求,解析請求會經(jīng)過DNS邊界防火墻,匹配DNS邊界防火墻的訪問控制策略。

  2. ECS發(fā)起的私網(wǎng)流量經(jīng)過NAT邊界防火墻,匹配NAT邊界防火墻的訪問控制策略。

  3. 允許放行的私網(wǎng)流量經(jīng)過NAT網(wǎng)關(guān),由NAT網(wǎng)關(guān)將私網(wǎng)源IP轉(zhuǎn)換成NAT公網(wǎng)IP。

  4. NAT網(wǎng)關(guān)發(fā)送公網(wǎng)流量到互聯(lián)網(wǎng)邊界防火墻,匹配互聯(lián)網(wǎng)邊界防火墻的訪問控制策略。

  5. 流量匹配云防火墻的威脅情報、基礎(chǔ)防御、智能防御和虛擬補丁規(guī)則。

如果在上述過程中,流量未命中任何一個拒絕策略,則該流量成功訪問域名;如果該過程流量命中任何一個拒絕策略時,流量會被拒絕,將無法訪問域名。

image

如何高效開啟和配置云防火墻互聯(lián)網(wǎng)邊界訪問控制策略?

云計算已成為企業(yè)數(shù)字化轉(zhuǎn)型的必然選擇,更廣泛的云技術(shù)方案構(gòu)成了更復(fù)雜的業(yè)務(wù)架構(gòu),安全邊界變得更加模糊。企業(yè)可通過云防火墻構(gòu)建云上網(wǎng)絡(luò)邊界防護能力,但是如果互聯(lián)網(wǎng)IP數(shù)量多,需要設(shè)置的訪問控制策略會很復(fù)雜。

云防火墻提供了AI智能策略,可以自動學(xué)習(xí)近30日的流量情況、以及云上IP資產(chǎn)、服務(wù)被訪問和主動外聯(lián)的情況,為每個目的IP或域名自動建議合適的互聯(lián)網(wǎng)邊界訪問控制策略,縮小資產(chǎn)在互聯(lián)網(wǎng)中的暴露面,阻斷內(nèi)到外的惡意IP和域名,降低業(yè)務(wù)入侵風(fēng)險。

關(guān)于如何下發(fā)互聯(lián)網(wǎng)邊界防火墻的智能訪問控制策略,請參見配置互聯(lián)網(wǎng)邊界訪問控制策略。