开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程:01-基础设施安全-5-云防火墙-ACA-01-特性与应用场景】
课程地址:https://edu.aliyun.com/course/3111981/lesson/18862
01-基础设施安全-5-云防火墙-ACA-01-特性与应用场景
内容介绍:
一、云防火墙的功能特性
二、云防火墙两大支柱——守护两大云上网络边界
三、云上网络“2+1”纵深防御体系——云防火墙“三重门”功能
一、云防火墙的功能特性
阿里云云防火墙是一款云原生的云上边界网络安全防护产品,可以提供统一的互联网边界、内网VPC边界以及主机边界流量管控与安全防护。
同时,阿里云云防火墙结合实时的入侵防护、全流量可视化分析、智能化访问控制、日志溯源分析等能力,是网络边界防护与等保合规的利器。
1、精细化的访问控制
主要是指基于用户的实际业务场景,可以进行自定义化或精细化的访问策略的配置。
2、资产暴露管理
主要针对用户侧对外暴露的公网IP,可以对多个暴露的公网IP进行统一的收敛和管理。
3、网络入侵防御
主要指对网络边界侧入侵流量的防御能力,配合譬如虚拟补丁功能实现对0-day漏洞或基于0-day漏洞
的攻击流量的实施防护。
4、主动外联检测与封禁
主要指云防火墙的主机对异常外连行为进行实时阻断,并且产生告警,及时推送给管理员进行处理;此外,还可与阿里云的威胁情报库协同防御。
5、与云上资产深度集成
6、一键开启,秒级接入,即开即用
7、高可用架构稳定可靠
这是基于阿里云飞天分布式操作系统实现的,可以满足业务变动对资源弹性扩展的要求。
总之,阿里云云防火墙是基于云原生技术提供边界防御的一款网络安全产品,可为云上业务的边界提供安全防护。
二、云防火墙两大支柱——守护两大云上网络边界
两大支柱,即边界防御能力,分别是互联网边界的防御以及VPC边界的防御。
1、互联网边界的防御
主要指从阿里云侧到互联网侧、以及从互联网侧到阿里云侧双向流量的防御,可以对违规流量及入侵流量进行过滤。
2、VPC边界的防御
主要指VPC和一些组件之间进行互访的安全流量的隔离,这些组件包含VPC与VPC之间流量的互访及控制、VPC和隧道链接VPN之间流量的互访及安全控制、VPC和专线互访VBR之间的互联及控制以及VPC和分支机构CCN进行流量的互访及控制(通常也叫sd外的一种接入方式),它们之间通过云企业网组件打通,再通过云防火墙的VPC边界的访问控制能力进行流量的访问并提供防护。
通过云防火墙的两大支柱边界防护能力,阿里云云防火墙为网络边界提供了立体化的防御态势。
三、云上网络“2+1”纵深防御体系——云防火“三重门”功能
1、功能阐释
互联网边界也叫做南北向流量的防护,云内网络边界也叫做东西向网络的防护,VPC内部主机边界(微隔离),这三个层面的防护称为防护墙的三重门功能。
观察该架构图,可以发现,通过因特网进入的流量首先会流经防火墙的第一道门,进行互联网边界的防御,其功能如下:第一,抗DDoS和WAF防御;第二,互联网入向防火墙与入侵检测;第三,安全正向的代理与策略管控;第四,主动的外联检测与防御。
VPC通过云企业网进行打通,形成内网结构,VPC之间的交互流量会流经防火墙的第二道门,进行云内的网络边界的防御,该层面的主要实现的功能如下:第一,VPC分区的隔离;第二,VPC边界防火墙与入侵检测;第三,专线防火墙与入侵检测。
VPC内部的主机之间的流量的隔离,称为第三道门,又称作微隔离,主要实现的功能主要包括主机的隔离,以及路由+NACL子网的隔离。
综上所述,云防火墙的三重门可以实现南北向、东西向以及微隔离三个不同层面的防御,实现纵深防御体系的能力。
2、案例说明
该案例可说明云防火墙纵深防御体系的价值点。
假设从互联网侧到阿里云内网侧进行一次渗透攻击,第一道门会通过入侵防御进行流量的发现与阻断;若此次攻击通过了第一道门的防御,接下来以某台机器为基点继续对VPC内部的主机进行渗透,通过云防火墙的微隔离功能可以过滤掉部分的攻击流量;若此次攻击仍旧通过了防御,再通过云企业网打通的内容对其他的VPC的资源进行渗透,云防火墙的云内网络边界(第三道门)可以进行流量的过滤。
因此,云防火墙的三重门的功能可以实现攻击侧所有流量的无死角全域覆盖,使攻击者无法轻易的对云内网络发起攻击,有效遏制了攻击的态势。
3、详细介绍
云防火墙的是互联网边界、VPC边界以及主机边界的防火墙的统称,为用户提供互联网、虚拟网络、主机三重防护。
(1)云防火墙——互联网边界的防火墙
用于监测互联网和云上资产之间通信流量的防火墙,即在互联网与云上主机,或用户主机之间进行流量过滤以及访问控制。
在默认不使用互联网防火墙功能时,互联网的入流量直接进入到用户的VPC中,通过ECS安全组进行流量的访问控制,出流量通过ECS安全组去往互联网一种机制,在增加了互联网边界的防护墙之后,会在ECS安全组以及主机防火墙之前呢增加一道墙,用于实现流量的访问控制、恶意流量的清洗、0-day流量的网络攻击以及主题实现感知等,同时还可以提供异常流量的告警功能以及告警的提示推送。
互联网防火墙为用户侧提供了更加全面的网络防护,同时,把原本的多个ECS安全组的控制点上移至云防火墙进行统一的管控,有效地提高了运维的效率。综上所述,云防火墙的互联网边界防火墙可以综合地保护用户的互联网边界侧的网络安全,是一种集中式管理的防火墙。
(2)云防火墙——VPC边界的防火墙
用于检测两个VPC之间的通信流量以及VPC与VBR、CCN之间通信流量的防火墙,它是一款分布式防火墙,其生效于两个用户VPC之间。
从互联网侧的入流量首先经过互联网边界的防火墙,再到用户的VPC,而VPC之间默认流量是不通的,但在有些业务场景下,需要通过云企业网把同账号的不同VPC进行内网的打通,或把跨账号里的多个VPC进行内网的打通,此时VPC之间互联的流量就应通过VPC边界防火墙进行控制。内网的VPC主机要访问互联网的流量,尤其是部分要跨VPC访问,在种情况下,同样需要先通过VPC边界的防火墙,再经过互联网边界的防火墙。
综上,VPC边界防火墙提供VPC之间东西向流量的防护。
(3)云防火墙——主机边界的防火墙
又称为微隔离,在了解主机防火墙之前,应先了解安全组,它提供分布式虚拟防火墙,用于设置ECS实例之间的网络访问控制。
主机防火墙在同一VPC底层使用了安全组的能力,用于主机和主机之间的进行流量的访问控制,用户既可以在云防火墙里,也可以在安全组控制台上进行策略的配置,且不管在哪里配置,两者之间都可以进行自动的保存同步。
综上,三种防火墙的配合使用的就可以让用户精细化地管控数据的访问行为,同时也组成了互联网边界-虚拟网络边界-主机边界三层纵深防御体系。此外,由于防火墙是一款SaaS化的产品,除即开即用的特点之外,还免去了大量的运维工作,用户的大部分精力可以用于业务的层面。
防火墙的功能是在后台进行自动更新和迭代的,其更新以时间轴为维度来持续发布更新的时间以及更新的内容。
4、“三重门”中网络安全分层对比
表的横向部分指三重门功能,分别为互联网边界、VPC边界以及VPC内部(微隔离),纵向分别为安全组、NACL、云防火墙、WAF及抗DDoS。
首先,互联网边界侧,云防火墙可以实现边界的7层ACL访问控制,是有状态的防火墙,同时还可支持入侵防御及日志的审计,而安全组及ACL没有此类功能。WAF是作为应用层的防火墙,可以对攻击进行有效的防护。抗DDoS也可以在互联网边界发挥很大的作用,主要是针对4层端口以及7层应用的各类DDoS攻击进行流量的清洗。
VPC边界与互联网边界的共同点在于其云防火墙侧提供与互联网边界相同的能力,且安全组和ACL也不具备相应的能力,在该层面,WAF和DDoS产品也没有相应的控制能力,主要还是靠云防火墙控制。
VPC内部在安全组以及NACL可以做到4层ACL访问控制,两者的区别主要在于是否有状态,云防火墙在一层面的底层是依托于安全组来实现此类功能,与安全组的配置是保持同步的。WAF和DDoS产品在VPC内部暂时也不具备功能。
综上所述,三重门的功能横跨不同的网络安全分层,在互联网边界、VPC边界以及VPC内部都发挥着重要的作用。
