开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程:01-基础设施安全-5-云防火墙-ACA-02-云防火墙快速入门】
课程地址:https://edu.aliyun.com/course/3111981/lesson/18869
01-基础设施安全-5-云防火墙-ACA-02-云防火墙快速入门
内容介绍:
一、云防火墙的部署步骤
二、云防火墙快速入门
三、防火墙策略配置最佳实践
四、云防火墙在等保合规中的检查项应答
五、案例:沃尔沃汽车
六、云防火墙对外售卖的版本以及功能的区别
一、云防火墙的部署步骤
1、开启云防火墙
下单购买,并在控制台中开启云防火墙的功能。
2、配置入侵防御策略
根据实际的业务场景,若没有特殊的要求,可默认开启系统自带的入侵防御库,建议开启虚拟补丁功能。
3、配置访问控制策略
收集互联网侧以及内部虚拟网络侧的网络互联信息以及暴露的情况,访问控制策略的统一配置,并且下放安全组全部放通策略。
4、查看网络流量
观察策略的命中数量以及上下行的流量情况等,来验证策略配置的效果。
二、云防火墙快速入门
1、开启防火墙
以下防火墙的主界面:
默认所有的公网IP是关闭保护的。首先,需要防护公网IP后面的操作项,将其改为开启保护的状态,只需要一键开启的操作即可,无需进行复杂的网络配置。如果未配置任何访问控制策略或威胁引擎未开启拦截模式,业务流量将只经过云防火墙,而云防火墙不会对业务的流量进行拦截,因此不会对业务产生任何的影响。同时,在左上角位置,可查看云防火墙的剩余时间以及防火墙开通的类型等信息。下面的位置则是云防火墙三重门,下面的位置会有综合的统计数据,包括公网IP数据、地域数据以及资产类型的数据。若通过该一项则等于打开了防火墙的开关,正式启用了防火墙。
2、配置入侵防御策略
以下为入侵防御策略配置页面:
最上面一栏的威胁引擎运行模式即为入侵防御的主配置项。在该栏有观察模式和拦截模式,其中观察模式也会针对攻击行为,但只记录不拦截,而拦截模式不仅记录攻击行为,同时也具备实时拦截的功能。拦截模式分为宽松、中等以及严格,具体开启哪种程序的拦截模式依据用户流量的实际情况进行判断,大多数情况下默认开启中等的拦截模式。开启拦截模式以后,即可对下面的高级设置进行相应的配置。
在高级设置中有威胁情报、基础防御、智能防御以及虚拟补丁。威胁情报主要基于阿里云多年积累的海量恶意IP、恶意域名威胁情报库协同云防火墙进行攻击的拦截;基础防御指入侵防御的规则库对一些常见的攻击流量进行拦截,例如端口扫描、暴力破解、远程代码执行等;智能防御,则会采用人工智能技术识别未知的攻击行为,提高对高级攻击的识别能力;虚拟补丁,针对被远程利用的高危漏洞,在网络层提供热补丁实时拦截漏洞攻击,避免因主机侧的漏洞修复不及时而产生的攻击行为导致主机被攻陷。
通过该页的配置就可以建立起防火墙的入侵防御相关功能。
3、配置访问控制策略
在该层会具体使用防火墙三重门功能。在该栏页签可以看到三种不同的网络层面,分别是互联网边界防火墙、主机边界防火墙以及VPC边界防火墙。
假设需要对互联网侧的流量进行管控,则点击互联网边界防火墙页签,下面会分别显示内对外以及外对内流量(互联网的出流量以及互联网的入流量),此时即可根据业务的实际情况进行策略的配置;假如需要对VPC之间的流量进行管控,则点击VPC边界的防火墙页签,进而创建VPC边界防火墙的策略;再如需要对VPC内部的主机侧的流量进行隔离,则点击主机边界防火墙页签来创建相应的策略。
通过该项配置,防火墙控制策略正式生效,即可应用于生产系统的环境当中。
4、查看网络流量
三、防火墙策略配置最佳实践
1、建议一:优选“白名单”机制
从逻辑上讲,将业务相关的端口流量放行,其他的默认为拒绝,通过以下三张表可以发现,根据业务的实际场景,可以在南北向、东西向以及微隔离的环境中配置相关的白名单机制,放行业务及运维类的相关流量,而默认拒绝的策略放到策略栏里的最后一项,用于过滤非开放的流量。
2、建议二:善用“观察模式”
遵循先松后紧的逻辑,为了避免因策略配置不当导致影响业务的情况,建议可以先开启观察模式,只记录流量的日志,而不产生拦截行为。例如,有部分的Deny项,可以先开观察模式,观察一段时间后再决定是否开启拦截模式。
3、建议三:同类策略的“地址簿”
指优化策略,提高运维的效率。例如,有相同类型的互联网入向的策略,有多个目的的IP地址,在该种情况下,可以把多个目的的IP地址编辑到地址簿中,在策略的目的IP地址栏直接引用地址簿即可,这样就避免了创建多条策略,每条策略只拦截目的IP情况,提高了运维的效率。
以上三条建议为运维人员带来了有价值的参考思路。
四、云防火墙在等保合规中的检查项应答
置于等保测评的环境中,云防火墙是阿里云所有的安全产品中得分最高的一款,即云防火墙所满足的安全指标项最多,主要覆盖等保基本要求中8.1.3安全区域边界的一大项。
在8.1.3.1的边界防护中a小项“应保证跨越边界的访问和数据流量通过边界设备提供的受控接口进行通信”,该项对应云防火墙互联网以及VPC边界控制的功能;c小项“应能够对内部用户非授权联到外部网络的行为进行检查和限制”对应云防火墙的主动外联检测和封禁的功能(主机实现感知的功能);
在8.1.3.2的访问控制中a小项访问管制策略设置对应的云防火墙的出向和入向的ACL访问控制;d小项中的“根据绘画状态的进出数据流量管控能力”对应云防火墙有状态七层ACL的访问能力以及深度包检测DPI;e小项中的应用协议和应用内容的访问控制对应的云防火墙的应用协议的识别能力。
在8.1.3.3入侵防御里的ab小项关键网络节点处的检测能力,从外部发起的以及从内部发起的流量分别对应云防火墙的互联网侧的IPS模块以及恶意边界检测和防御的能力;c小项的“对网络攻击特别是新型网络攻击行为的分析”主要对应云防火墙的入侵防御加智能防御的能力。
在8.1.3.5的安全审计主要对应云防火墙的互联网边界流量审计以及VPC边界流量的审计功能;同时日志审计的导出功能也覆盖了c小项中提到的日志定期备份的要求。
等保要求安全区域边界中云防火墙的覆盖度高,是用户等保的一把利器。
五、案例:沃尔沃汽车
1、痛点
该公司成立于1927年,如今已成为世界上知名度很高的一家高档汽车品牌公司。该用户大部分业务运行在阿里云上,目前该用户的安全痛点有如下几点:
(1)对于安全需要有一套快速的部署能力的产品,并且可以按需扩容;
(2)目前该体系缺乏对恶意外联检测的能力;
(3)由于本地办公域已与阿里云通过专线进行打通,因此有专线流量的检测需求;
(4)对安全的高可用的要求。
2、需求
依据客户的痛点,就相应地产生了网络侧安全的需求,如下:
(1)需要一套多VPC的架构进行开发与测试系统进行隔离;
(2)在此基础上,在出口进行统一的安全管控;
(3)全边界的流量安全的感知能力。
3、成效
用户在部署了阿里云云防火墙后,给客户带来的成效有如下几个方面:
(1)SaaS化的部署可以实现即开即用的效果,满足了快速部署的诉求;
(2)利用三重门的能力,互联网边界以及VPC边界和专线检测建立了统一的策略,增加了安全覆盖面,提高了运维的效率;
(3)全边界流量的日志审计能力满足了审计和应用排账的需求。
六、云防火墙对外售卖的版本以及功能的区别
目前,阿里云云防火墙对外售卖共分为三种类型,分别为高级版、企业版以及旗舰版。
高级版可以理解为是一款入门级的防火墙,主要提供南北向的网络安全防御能力,同时提供了基础网络入侵防御的能力;企业版是在高级版的基础上提供VPC东西向网络安全防御能力、安全组统一管理与可视化以及主机的实现感知能力,同时集成了NAT正向代理功能;旗舰版则是在企业版功能的基础上,提供了多账号的统一组网与安全管理的能力,其主要是针对一些大型企业的组织架构,推荐该类用户使用此款型号。
下图针对三种不同的版本的一些功能细节做了对比:
