一、出向流量安全挑战

随着网络攻击的复杂化，企业的安全建设也面临更艰巨的挑战。一般企业云上工作负载往往既有互联网访问的入向流量，也有内网主动发起的出向流量。然而，在考虑如何保护网络时，大多企业安全运维团队往往更多关注入站网络流量，并部署相对完善的安全措施。但是出站网络流量的安全往往被忽视，成为很多企业的安全防护体系短板，比如入向防护措施被绕过后攻击渗透至内网，造成窃取数据、下载安装恶意软件或对外连接恶意中控等。同时，由于企业安全管理措施疏忽，也可能会有内部人员对外非授权访问，或访问恶意网站应用等，造成敏感数据泄露等风险。

常见需要企业关注的潜在出向流量安全风险包括：

1. 失陷恶意外联

当恶意攻击者绕过入向安全防护栈措施，攻陷企业内部工作负载后，往往会外联恶意中控，如回调进行勒索软件下载等。在攻击链路中，恶意软件感染一般是更大规模攻击的初始阶段之一，许多恶意软件仍然需要与命令和控制 (C&C) 服务器进行通信，建立连接，获取更新，请求命令以及将窃取的数据泄露到中控服务器。某些类型的勒索软件、僵尸网络、挖矿行为等都需要进行外联回调。这时候就需要及时告警和阻止恶意外联，防止对企业的IT基础设施、数字资产、开发系统等造成进一步破坏。

2. 数据泄露风险

盗取企业高价值数据往往是恶意攻击者目标，一旦攻击成功，恶意攻击者可以获取企业的高价值数据，如财务数据、密码、电子邮件、个人身份信息等，并通过网络流量外传，用于非法兜售、财务欺诈、身份盗窃等恶意活动。攻击者还可能利用这些获取的信息对企业进一步提权或访问敏感数据系统等，给企业带来更多破坏性风险。

3. 内部人员风险

由于安全意识不足或企业安全管理措施疏忽等，内部人员在进行业务系统开发或运维时，可能对外调用访问一些不安全的web服务、地理位置、IP等。或者有意将企业敏感数据上传至外部GitHub等公开或开源平台，给企业造成攻击入侵风险和敏感数据泄露风险。这是需要及时有效的监测这些风险行为，并及时告警及阻止，同时也需要进一步审计溯源。

4. 供应链风险

如果企业自身安全系统完善，但是由于业务中需要涉及三方开发系统，或者需要与供应商、子公司等业务互联互访，一旦相应供应商或子公司由于安全措施不足，导致被破坏攻陷后，攻击也会影响到企业，并进行恶意外联等。这就需要企业针对来自供应链方的流量也需要进行安全监控和审计，发现攻击后能及时溯源止损。

5. 出站流量合规风险

一些行业监管机构以及安全内审团队，针对出向流量提出来较明确和严格的监管要求，提升系统的安全性。比如支付卡行业数据安全标准 (PCI DSS) v 4.0的要求：1.3.2要求限制源自持卡人数据环境 (CDE) 的出站流量。根据要求 1.3.2，仅允许被认为必要的出站流量。必须阻止所有其他出站流量。此要求旨在防止实体网络内的恶意个人和受损系统组件与不受信任的外部主机进行通信。因此也需要企业针对出站流量进行严格的安全管理和审计。

近一周云防火墙检测和防护的出站流量攻击告警分布：

二、解决方案

针对出向流量安全管理，企业可以通过采用NAT网关+NAT防火墙的方案实现可对出向流量的有效监控和保护。

NAT网关通过自定义SNAT、DNAT规则可为云上服务器提供对外公网服务、及主动访问公网能力。通过NAT网关的SNAT能力，当ECS主动发起对外访问连接时，ECS会随机通过SNAT地址池中的EIP访问互联网，避免将私网直接暴露在公网，提升资产安全性。

NAT防火墙为云防火墙的NAT边界安全能力，可针对NAT转化前的VPC内资源（例如ECS、ECI等）通过NAT网关直接访问互联网时，进行4-7层流量安全保护，审计和拦截未授权的流量访问，降低未经授权的访问、数据泄露、恶意流量攻击等安全风险。

NAT网关：通过SNAT避免私网直接暴露

NAT网关（NAT Gateway）是一款企业级的地址转换网关，通过SNAT访问公网，有效避免对外暴露源ECS主机IP。

NAT防火墙：精细化域名/应用/地理位置等私网访问控制和溯源

NAT防火墙为云防火墙的NAT边界安全能力，可针对NAT转化前的VPC内私网资产，进行4~7层流量安全保护，日志审计和拦截未授权的流量访问，降低安全风险。

NAT防火墙：一键自动化部署

NAT边界防火墙一键开启操作视频

https://help.aliyun.com/zh/cloud-firewall/user-guide/nat-firewalls

三、方案架构

场景1：多VPC内多个NAT网关流量安全

某企业机构在云上主要为数据中心系统开发业务，主要有两个专有网络VPC，一个为生产VPC，一个为测试VPC，每个VPC内分别部署有一个NAT网关，实现私网访问公网流量业务，日常开发环境中有外部软件调用需求，如jar包启动更新等，需企业员工开发仅授权访问正常业务，不允许非授权外联，造成安全风险。

部署方案：

• 每个VPC内各自部署了一个NAT网关
• 每个NAT网关前各部署了一个NAT防火墙

配置方案：

• 在NAT网关上配置SNAT策略，实现私网ECS绑定NAT EIP访问公网
• 在NAT防火墙上自动同步NAT网关策略
• NAT防火墙上监控ECS私网访问公网流量趋势及会话明细
• NAT防火墙上配置白名单机制的ACL访问控制策略，仅允许访问特定网站和IP及地理位置，其他流量拒绝
• NAT防火墙上对所有出向流量进行策略审计和日志分析

场景2：统一DMZ VPC内单个NAT网关流量安全

某金融机构在云上主要为证券保险业务，有多个业务VPC，包括中台VPC、第三方系统VPC、行情VPC等，所有VPC均通过DMZ访问公网，该DMA内部署了一个NAT网关，实现私网访问公网流量业务，日常环境中有外部支付服务、外部行情服务及监管服务业务访问需求，需仅授权访问正常业务，不允许非授权外联，造成安全风险。同时需对所有出向访问流量实时监控审计，及时发现异常流量和攻击。

部署方案：

• 仅DMZ VPC内部署了一个NAT网关
• 仅DMZ VPC的NAT网关前部署一个NAT防火墙
• 其他VPC通过云企业网互联访问DMZ VPC实现外网访问

配置方案：

• 在NAT网关上配置SNAT策略，实现私网ECS绑定NAT EIP访问公网
• 在NAT防火墙上自动同步NAT网关策略
• NAT防火墙上监控ECS私网访问公网流量趋势及会话明细
• NAT防火墙上配置白名单机制的ACL访问控制策略，仅放行访问特定网站和IP及地理位置，其他流量拒绝
• 针对指定不允许访问的域名、应用、地理位置等，也可以配置黑名单机制的ACL拒绝访问策略
• NAT防火墙上对所有出向流量进行流量分析，及时发现异常流量
• NAT防火墙对所有流量和策略日志进行审计记录，方便溯源分析

场景3：单VPC内多个NAT网关流量安全

某大型跨国机构在云上单个VPC中，由于业务访问较为复杂，对外访问系统较多，在同一个VPC内部署多个公网NAT网关，并通过不同的公网NAT网关转发去往不同目的地址的流量，并需要针对不同的公网NAT网关做不同的安全防护，实现更精细化安全策略管理。

部署方案：

• 业务VPC内基于不同流量目的部署了两个NAT网关，其中一个NAT网关绑定了多个EIP
• 每个NAT网关分别对应部署一个NAT防火墙

配置方案：

• 在NAT网关上配置SNAT策略，实现私网ECS绑定NAT EIP访问公网
• 在NAT防火墙上自动同步NAT网关策略以及绑定的EIP
• NAT防火墙上监控ECS私网访问公网流量趋势及会话明细
• NAT防火墙上配置白名单机制的ACL访问控制策略，不允许访问黑IP和黑域名
• NAT防火墙上对所有出向流量进行流量分析，及时发现异常流量
• NAT防火墙对所有流量和策略日志进行审计记录，方便溯源分析

详细配置部署指导：

• NAT网关：https://help.aliyun.com/zh/nat-gateway/user-guide/create-and-manage-internet-nat-gateways
• NAT防火墙：https://help.aliyun.com/zh/cloud-firewall/user-guide/nat-firewalls