阿里云防火墙测试调研

本文涉及的产品
公网NAT网关,每月750个小时 15CU
云防火墙,500元 1000GB
应用型负载均衡 ALB,每月750个小时 15LCU
简介: 阿里云防火墙测试调研 一.主要功能 云防火墙是阿里云推出的公有云环境下的saas式防火墙,从产品调研和测试中,我们了解到其主要有以下几个功能 1.策略控制(南北向,东西向) 2.网络流量分析(主动外连,流量/连接等活动趋势) 3.IPS(基于内置规则的基础防御,针对高危漏洞的虚拟补丁) 4.全量日志(流量日志,操作日志) 二.功能体验 试用过程中,主要测试和验证几个核心功能当前阶段能达到的效果,以及从实用性的角度来考察能不能解决或优化公司当前面临的一些问题。

阿里云防火墙测试调研


一.主要功能

云防火墙是阿里云推出的公有云环境下的saas式防火墙,从产品调研和测试中,我们了解到其主要有以下几个功能

1.策略控制(南北向,东西向)

2.网络流量分析(主动外连,流量/连接等活动趋势)

3.IPS(基于内置规则的基础防御,针对高危漏洞的虚拟补丁)

4.全量日志(流量日志,操作日志)

二.功能体验

试用过程中,主要测试和验证几个核心功能当前阶段能达到的效果,以及从实用性的角度来考察能不能解决或优化公司当前面临的一些问题。

1.策略控制

安全策略---访问控制菜单下,主要有三个标签页,分别为内-外流量,外-内流量,内-内流量;

其中内-外流量和外-内流量为面向互联网的流量,也即俗称的南北向流量;内-内流量也即俗称的东西向流量,对我们而言,内-内这个标签页下面的策略,为云防火墙自动从安全组同步和学习过来的策略。

如下图,安全组策略被自动同步到了内-内流量的标签页,这里可以直接修改对应的安全组策略,发布后生效:


从配置管理的角度,内-内这里依然是通过安全组规则来实现的,只不过是另一个配置入口,并无太大改变;

另一方面,内–外流量和外–内流量这里的策略配置,则和安全组没有关系,且支持自定义ip地址簿等能简化配置的功能(我们还提了建议,支持自定义端口组),基本上是一个标准的防火墙配置,从管理配置体验上,比安全组好很多,且能大幅降低策略数目,提高配置效率;




不过,遗憾的是,原来以为云防火墙以VPC作为一个流量单元,进出VPC的策略控制(包含VPC去往互联网,以及VPC和VPC之间的流量)均可直接在外--内和内--外标签页下进行配置,后来了解到,外—内流量和内—外流量这两个标签页下,只能控制和配置去往互联网的策略,不支持两个VPC之间的,而我们目前云上的策略控制主要是通过VPC之间来做控制的,EIP已经很少了,所以这一块功能,目前并不能为我们带来太大便利。

关于这个问题,云防火墙产品团队表示,后续在东西向高速通道上会有专门的组件。但现在是不支持的。

2.网络流量分析

基于当前的互联网攻击态势,NTA网络流量分析其实是我们很关注的功能,增加了一个新的攻击发现维度。

主动外联这里,可以看到当前网络环境下,主动连接的外部域名;如果将该模块与第三方威胁情报平台对接,则可以快速的定位出可能存在问题的访问记录。从测试验证的角度来看,主动外连的域名记录基本是完整的。


此外还提供基于IP和端口的数据统计,有一定的参考价值。


 

3.IPS

IPS功能模块支持观察模式和拦截模式,主要功能包括基础防御,以及针对高危漏洞的虚拟补丁

 

测试过程中,因为加入测试的EIP只有两个,所以基础防御功能实际效果尚不完全确定。

 

值得一提的是,虚拟补丁这个功能看上去还不错,启用方便,阿里云针对热门漏洞,也能及时推出热补丁:

 

4.日志功能

该功能模块记录了基础的操作行为和流量日志,可以满足基本的操作审计以及流量的回溯分析。对于威胁事件,也有一定记录;




三.计费模式与版本

当前,云防火墙提供几种版本供用户选择:



但从上表中可以看到,企业版和旗舰版,费用均和ECS数目有关,较不适合我司这种ECS数量多,且增长较快的企业;

而对于高级版,主要存在两个问题

1.高级版的计费模式中,也存在和带宽相关的扩展费用,且目前费用并不低;主要原因在于其扩展带宽的计费,是按照所有EIP带宽之和的最大值来计算的。

2.高级版模式,并不支持东西向访问控制;

事实上我们并不强制需要访问控制功能,但是如果有云防火墙能帮助我们优化这一块的管理,当然会更好。我们目前以VPC为级别进行访问控制,而按照阿里云的说法,目前并不支持VPC级别的访问控制;即使以后推出,这个功能也只会在东西向的访问控制模块里,而高级版并不支持这一功能。所以访问控制这一功能模块对我们的改善有限,除非以后该产品再进行比较大的改进。

四.总结

综合以上分析,得到以下结论

1.功能方面,网络流量分析以及IPS模块,整体功能还是很不错的,对于提升安全感知能力和防护水平会有帮助;而访问控制功能,以我们当前使用环境和产品现状,暂时没有太大作用;不过该功能和用户当前云上安全隔离的实现方式有关,在有的用户环境下,特别是EIP较多的公司里,相信还是会有帮助的。

2.费用方面,目前的计费模式虽然较之前已经不一样了,但个人认为依然有些偏高(主要是带宽扩展费用),希望这一方面将来有所改善


目录
相关文章
|
3月前
|
存储 测试技术
阿里云块存储问题之测试不聚焦可能导致测试不稳定如何解决
阿里云块存储问题之测试不聚焦可能导致测试不稳定如何解决
46 3
|
10天前
|
数据采集 自然语言处理 数据库
深入体验阿里云通义灵码:测试与实例展示
阿里云通义灵码是一款强大的代码生成工具,支持自然语言描述需求,快速生成高质量代码。它在测试、代码质量和用户体验方面表现出色,能够高效地生成 Python 和 Java 等语言的代码,助力开发者提升开发效率和代码质量。无论是新手还是资深开发者,都能从中受益匪浅。
深入体验阿里云通义灵码:测试与实例展示
|
3月前
|
弹性计算 测试技术 持续交付
阿里云云效产品使用合集之如何进行自动化测试
云效作为一款全面覆盖研发全生命周期管理的云端效能平台,致力于帮助企业实现高效协同、敏捷研发和持续交付。本合集收集整理了用户在使用云效过程中遇到的常见问题,问题涉及项目创建与管理、需求规划与迭代、代码托管与版本控制、自动化测试、持续集成与发布等方面。
|
1月前
|
弹性计算 安全 Linux
阿里云国际版使用ping命令测试ECS云服务器不通的排查方法
阿里云国际版使用ping命令测试ECS云服务器不通的排查方法
|
1月前
|
开发框架 缓存 Ubuntu
dotnet开发框架+ubuntu防火墙命令+win11设置自动登录+阿里云短信发送限制
dotnet开发框架+ubuntu防火墙命令+win11设置自动登录+阿里云短信发送限制
36 2
|
3月前
|
运维 Java Devops
阿里云云效操作报错合集之在流水线增加单元测试报错,是什么导致的
本合集将整理呈现用户在使用过程中遇到的报错及其对应的解决办法,包括但不限于账户权限设置错误、项目配置不正确、代码提交冲突、构建任务执行失败、测试环境异常、需求流转阻塞等问题。阿里云云效是一站式企业级研发协同和DevOps平台,为企业提供从需求规划、开发、测试、发布到运维、运营的全流程端到端服务和工具支撑,致力于提升企业的研发效能和创新能力。
|
3月前
|
缓存 运维 容灾
入行5年,谈谈我在阿里做测试开发的经验
作者在阿里一直从事测试开发相关工作,这几年学习很多、收获很多,作者希望给还在该方向摸爬滚打的同学一些启发和方向。
|
3月前
|
存储 Kubernetes 测试技术
阿里云块存储问题之处理信用分低的测试用例(即不稳定Case)如何解决
阿里云块存储问题之处理信用分低的测试用例(即不稳定Case)如何解决
46 0
|
3月前
|
存储 Kubernetes 测试技术
阿里云块存储问题之生产代码与测试代码需要同步原子提交如何解决
阿里云块存储问题之生产代码与测试代码需要同步原子提交如何解决
37 0
|
3月前
|
存储 测试技术 块存储
阿里云块存储问题之有顺序依赖的测试导致不稳定如何解决
阿里云块存储问题之有顺序依赖的测试导致不稳定如何解决
33 0