01-基础设施安全-5-云防火墙-ACA-02-云防火墙快速入门

本文涉及的产品
服务治理 MSE Sentinel/OpenSergo,Agent数量 不受限
可观测可视化 Grafana 版,10个用户账号 1个月
简介: 01-基础设施安全-5-云防火墙-ACA-02-云防火墙快速入门

开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程01-基础设施安全-5-云防火墙-ACA-02-云防火墙快速入门

课程地址:https://edu.aliyun.com/course/3111981/lesson/18869


01-基础设施安全-5-云防火墙-ACA-02-云防火墙快速入门


内容介绍:

一、云防火墙的部署步骤

二、云防火墙快速入门

三、防火墙策略配置最佳实践

四、云防火墙在等保合规中的检查项应答

五、案例:沃尔沃汽车

六、云防火墙对外售卖的版本以及功能的区别

 

一、云防火墙的部署步骤

1、开启云防火墙

下单购买,并在控制台中开启云防火墙的功能

2、配置入侵防御策略

根据实际的业务场景没有特殊的要求,可默认开启系统自带的入侵防御库建议开启虚拟补丁功能

3、配置访问控制策略

收集互联网以及内部虚拟网络的网络互联信息以及暴露的情况访问控制策略的统一配置,并且下放安全组全部放通策略。

4、查看网络流量

观察策略的命中数量以及上下行的流量情况等来验证策略配置的效果

 

二、云防火墙快速入门

1、开启防火墙

以下防火墙的主界面

图片52.png

默认所有的公网IP是关闭保护的首先,需要防护IP后面的操作项将其改为开启保护的状态只需要一键开启的操作即可无需进行复杂的网络配置如果配置任何访问控制策略或威胁引擎开启拦截模式,业务流量将只经过防火墙而云防火墙不会对业务的流量进行拦截,因此不会对业务产生任何的影响。同时,在左上角位置,可查看云防火墙的剩余时间以及防火墙开通的类型等信息。下面的位置则是云防火墙三重门,下面的位置会有综合的统计数据,包括公网IP数据、地域数据以及资产类型的数据。若通过该一项则等于打开了防火墙的开关,正式启用了防火墙。


2、配置入侵防御策略

以下为入侵防御策略配置页面:

图片53.png

最上面一栏的威胁引擎运行模式即为入侵防御的主配置项。在该栏有观察模式和拦截模式,其中观察模式也会针对攻击行为,但只记录不拦截,而拦截模式不仅记录攻击行为,同时也具备实时拦截的功能。拦截模式分为宽松、中等以及严格,具体开启哪种程序的拦截模式依据用户流量的实际情况进行判断,大多数情况下默认开启中等的拦截模式。开启拦截模式以后,即可对下面的高级设置进行相应的配置。


在高级设置中有威胁情报、基础防御、智能防御以及虚拟补丁。威胁情报主要基于阿里云多年积累的海量恶意IP、恶意域名威胁情报库协同云防火墙进行攻击的拦截;基础防御指入侵防御的规则库对一些常见的攻击流量进行拦截,例如端口扫描、暴力破解、远程代码执行等;智能防御,则会采用人工智能技术识别未知的攻击行为,提高对高级攻击的识别能力;虚拟补丁,针对被远程利用的高危漏洞,在网络层提供热补丁实时拦截漏洞攻击,避免因主机侧的漏洞修复不及时而产生的攻击行为导致主机被攻陷。


通过该页的配置就可以建立起防火墙的入侵防御相关功能。


3、配置访问控制策略

在该层会具体使用防火墙三重门功能。在该栏页签可以看到三种不同的网络层面,分别是互联网边界防火墙、主机边界防火墙以及VPC边界防火墙。

图片54.png

假设需要对互联网侧的流量进行管控,则点击互联网边界防火墙页签,下面会分别显示内对外以及外对内流量(互联网的出流量以及互联网的入流量),此时即可根据业务的实际情况进行策略的配置;假如需要对VPC之间的流量进行管控,则点击VPC边界的防火墙页签,进而创建VPC边界防火墙的策略;再如需要对VPC内部的主机侧的流量进行隔离,则点击主机边界防火墙页签来创建相应的策略。


通过该项配置,防火墙控制策略正式生效,即可应用于生产系统的环境当中。

4、查看网络流量

 

三、防火墙策略配置最佳实践

1、建议一:优选“白名单”机制

从逻辑上讲,将业务相关的端口流量放行,其他的默认为拒绝,通过以下三张表可以发现,根据业务的实际场景,可以在南北向、东西向以及微隔离的环境中配置相关的白名单机制,放行业务及运维类的相关流量,而默认拒绝的策略放到策略栏里的最后一项,用于过滤非开放的流量。

图片55.png

2、建议二:善用“观察模式”

遵循先松后紧的逻辑,为了避免因策略配置不当导致影响业务的情况,建议可以先开启观察模式,只记录流量的日志,而不产生拦截行为。例如,有部分的Deny项,可以先开观察模式,观察一段时间后再决定是否开启拦截模式。


3、建议三:同类策略的“地址簿”

指优化策略,提高运维的效率。例如,有相同类型的互联网入向的策略,有多个目的的IP地址,在该种情况下,可以把多个目的的IP地址编辑到地址簿中,在策略的目的IP地址栏直接引用地址簿即可,这样就避免了创建多条策略,每条策略只拦截目的IP情况,提高了运维的效率。

以上三条建议为运维人员带来了有价值的参考思路。

 

四、云防火墙在等保合规中的检查项应答

置于等保测评的环境中,云防火墙是阿里云所有的安全产品中得分最高的一款,即云防火墙所满足的安全指标项最多,主要覆盖等保基本要求中8.1.3安全区域边界的一大项。


在8.1.3.1的边界防护中a小项“应保证跨越边界的访问和数据流量通过边界设备提供的受控接口进行通信”,该项对应云防火墙互联网以及VPC边界控制的功能;c小项“应能够对内部用户非授权联到外部网络的行为进行检查和限制”对应云防火墙的主动外联检测和封禁的功能(主机实现感知的功能);


在8.1.3.2的访问控制中a小项访问管制策略设置对应的云防火墙的出向和入向的ACL访问控制;d小项中的“根据绘画状态的进出数据流量管控能力”对应云防火墙有状态七层ACL的访问能力以及深度包检测DPI;e小项中的应用协议和应用内容的访问控制对应的云防火墙的应用协议的识别能力。


在8.1.3.3入侵防御里的ab小项关键网络节点处的检测能力,从外部发起的以及从内部发起的流量分别对应云防火墙的互联网侧的IPS模块以及恶意边界检测和防御的能力;c小项的“对网络攻击特别是新型网络攻击行为的分析”主要对应云防火墙的入侵防御加智能防御的能力。


在8.1.3.5的安全审计主要对应云防火墙的互联网边界流量审计以及VPC边界流量的审计功能;同时日志审计的导出功能也覆盖了c小项中提到的日志定期备份的要求。


等保要求安全区域边界中云防火墙的覆盖度高,是用户等保的一把利器。

 

五、案例:沃尔沃汽车

1、痛点

该公司成立于1927年,如今已成为世界上知名度很高的一家高档汽车品牌公司。该用户大部分业务运行在阿里云上,目前该用户的安全痛点有如下几点:

(1)对于安全需要有一套快速的部署能力的产品,并且可以按需扩容;

(2)目前该体系缺乏对恶意外联检测的能力;

(3)由于本地办公域已与阿里云通过专线进行打通,因此有专线流量的检测需求;

(4)对安全的高可用的要求。


2、需求

依据客户的痛点,就相应地产生了网络侧安全的需求,如下:

(1)需要一套多VPC的架构进行开发与测试系统进行隔离;

(2)在此基础上,在出口进行统一的安全管控;

(3)全边界的流量安全的感知能力。


3、成效

用户在部署了阿里云云防火墙后,给客户带来的成效有如下几个方面:

(1)SaaS化的部署可以实现即开即用的效果,满足了快速部署的诉求;

(2)利用三重门的能力,互联网边界以及VPC边界和专线检测建立了统一的策略,增加了安全覆盖面,提高了运维的效率;

(3)全边界流量的日志审计能力满足了审计和应用排账的需求。

 

六、云防火墙对外售卖的版本以及功能的区别

目前,阿里云云防火墙对外售卖共分为三种类型,分别为高级版、企业版以及旗舰版。


高级版可以理解为是一款入门级的防火墙,主要提供南北向的网络安全防御能力,同时提供了基础网络入侵防御的能力;企业版是在高级版的基础上提供VPC东西向网络安全防御能力、安全组统一管理与可视化以及主机的实现感知能力,同时集成了NAT正向代理功能;旗舰版则是在企业版功能的基础上,提供了多账号的统一组网与安全管理的能力,其主要是针对一些大型企业的组织架构,推荐该类用户使用此款型号。


下图针对三种不同的版本的一些功能细节做了对比:

图片56.png

相关文章
|
3天前
|
安全 网络协议 Shell
【内网安全】 域防火墙&入站出站规则&不出网隧道上线&组策略对象同步
【内网安全】 域防火墙&入站出站规则&不出网隧道上线&组策略对象同步
|
22天前
|
弹性计算 监控 安全
通过NAT网关和云防火墙防护私网出站流量安全的最佳实践
针对云上企业出站流量安全攻击,企业可以通过采用“NAT网关+NAT边界防火墙”方案实现出向流量有效监控保护,有效降低恶意软件攻陷风险、内部人员风险、数据泄露风险、供应链风险、出站流量合规风险等
54 3
|
3天前
|
安全 网络协议 Linux
【内网安全】 隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
【内网安全】 隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
|
26天前
|
SQL 监控 安全
【阿里云云原生专栏】云原生安全体系构建:阿里云云防火墙与WAF的应用
【5月更文挑战第27天】阿里云云防火墙和WAF是构建云原生安全体系的关键产品,提供网络、主机和Web应用多维度防护。云防火墙采用分布式架构抵御网络攻击,确保应用安全稳定;WAF专注Web应用安全,防止SQL注入、XSS和DDoS等威胁。简单部署配置,结合使用可实现全面安全防护,提升企业云上应用安全性,保障业务安全运行。未来,阿里云将持续强化云原生安全建设。
212 1
|
5天前
|
弹性计算 人工智能 供应链
云服务器 ECS产品使用问题之端口已加入安全组,但是端口不通,同时服务器已关闭防火墙,是什么导致的
云服务器ECS(Elastic Compute Service)是各大云服务商阿里云提供的一种基础云计算服务,它允许用户租用云端计算资源来部署和运行各种应用程序。以下是一个关于如何使用ECS产品的综合指南。
|
1月前
|
云安全 数据采集 安全
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
阿里云提供两种关键安全产品:Web应用防火墙和云防火墙。Web应用防火墙专注网站安全,防护Web攻击、CC攻击和Bot防御,具备流量管理、大数据防御能力和简易部署。云防火墙是SaaS化的网络边界防护,管理南北向和东西向流量,提供访问控制、入侵防御和流量可视化。两者结合可实现全面的网络和应用安全。
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
|
1月前
|
网络协议 安全 Linux
linux配置防火墙 Centos7下 添加 端口白名单
linux配置防火墙 Centos7下 添加 端口白名单
245 0
|
1月前
|
存储 安全 网络协议
使用 firewall-cmd 管理 Linux 防火墙端口
本文将介绍如何使用 firewall-cmd 工具在 Linux 系统中进行简单端口管理,包括开放、查询、关闭等操作。通过实例展示相关命令的用法,希望能对大家有所帮助。
220 0
|
18天前
|
网络协议 Java Linux
Linux常用操作命令、端口、防火墙、磁盘与内存
Linux常用操作命令、端口、防火墙、磁盘与内存
22 0
|
1月前
|
运维 程序员 Linux
运维最全Linux 基本防火墙设置和开放端口命令,2024年最新程序员如何自我学习和成长
运维最全Linux 基本防火墙设置和开放端口命令,2024年最新程序员如何自我学习和成长