云防火墙初次开通使用最佳实践

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云服务器 ECS,每月免费额度200元 3个月
云服务器ECS,u1 2核4GB 1个月
简介: 云防火墙可以帮助用户在云上实现业务隔离和防护,确保业务安全和满足合规要求,如果您在购买云防火墙不知道如何使用,本文将从业务介绍新手如何结合业务更好的使用云防火墙。

云防火墙可以帮助用户在云上实现业务隔离和防护,确保业务安全和满足合规要求,如果您在购买云防火墙不知道如何使用,本文将从业务介绍新手如何结合业务更好的使用云防火墙。

一.如何根据业务规划安全域

1.1了解熟悉VPC云网络

专有网络是您自己独有的云上私有网络。您可以完全掌控自己的专有网络,例如选择IP地址范围、配置路由表和网关等,您可以在自己定义的专有网络中使用阿里云资源如云服务器、云数据库RDS版和负载均衡等。

每个专有网络都由至少一个私网网段、一个路由器和至少一个交换机组成,如下图:

image.png

常见的云上网络架构如下:

image.png

关于VPC更多的网络介绍描述烦请您点击了解详细的VPC网络介绍了解。

1.2了解什么是安全域?

由于业务类型不同、网络规模、管理方便等多方面原因,一般企业上云后的安全域处于默认模式,这样就会导致随着业务的发展,业务网络架构变得混乱,比如开放了一些不必要的端口发布到互联网、内部通信访问权限太大,一旦入侵后会导致漫游影响所有业务,存在很大的安全风险。

网络安全域就像酒店一样,每个不同的入住客人可以入住不同的楼层和房间,互不干扰。在实际的IT业务环境中,数据库服务器与供客户访问的Web服务器显然就不是一个安全等级,测试环境的服务器与正式提供服务的生产服务器显然也不是一个安全等级,因此,我们要对响应的业务资产从业务功能、通信关系等方面进行安全域划分。

1.3如何设计安全域隔离业务?

一般企业业务,我们建议划分为生产网、开发测试网等不同的网络安全域。

业务分区安全设计:

  • 设计原则:可靠、稳定、高效交互;

  • 设计建议:

  • 按业务维度分区(互联网业务、内部系统)

  • 按系统维度分区(生产、开发测试、共享)

  • 跨分区通过云企业网(CEN)搭配云防火墙实现策略管控

互联网出入安全设计:

  • 设计原则:保证灵活性、弹性伸缩能力和安全性;

  • 设计建议:

  • 配置云防火墙管控进出流量(可搭配WAF)

  • (可选)配置独立DMZVPC或VSW,搭配EIP/SLB/NAT,提供互联网连接

云上业务互联安全设计:

  • 设计原则:环境隔离,必要的连通同时保证安全;

  • 设计建议:

  • 配置云企业网(CEN),绑定VPC、专线(VBR)、CCN三种网络实例,实现一键接入、全球互联;

  • VPC内配置安全组策略,实现微隔离(可搭配云防火墙,实现策略统一管理)

针对大型的集团子公司业务

建议:

生产网安全域又会分为集团安全域、子分公司安全域等。

集团安全域又划分为生产网外网区、内网区和生产网DMZ区,生产内网安全域又会根据业务类型不同分为普通业务安全、核心业务安全域、数据库安全域域等。

lALPDg7mRfkQZX_NBofNDyw_3884_1671.png

针对一般的小型公司企业业务

建议:

根据业务类型、功能模块、网络通信关系等维度,划分为普通业务安全、核心业务安全域、数据安全域、DMA安全域(邮件系统、门户网站)等。

导出架构图 (1).jpg

二.如何选择适合我的云防火墙版本

2.1云防火墙可以做什么?

阿里云云防火墙服务可统一管理互联网到业务的访问控制策略(南北向)和业务与业务之间的微隔离策略(东西向)的流量,提供流量监控、精准访问控制、实时入侵防御等功能,全面隔离、防护您的网络边界。

2.2如何根据业务选择合适的版本?

了解完以上关于安全域划分内容之后,我们可以开始选择适合我们的云防火墙版本和规格,高级版防火墙最少购买6个月,企业版和旗舰版可按年按月购买。

云防火墙版本可从要防护的公网IP数防护VPC数量多账号管控 (使用云防火墙对其他账号下的云资源进行防护)三个方面来判断选择,如下:

防护公网IP数

防护VPC数量

是否需要多账号管控

建议云防火墙版本

核心功能

1~1,000

按量版

  • 入门级防火墙

  • ​提供南北向网络安全防御能力

  • 提供基础网络入侵防御(NIPS)能力

20~1,000

高级版

50~2,000

2~200

企业版

  • 企业级防火墙,覆盖高级版全部能力

  • 提供VPC间东西向网络安全防御能力

  • 安全组统一管理与可视化

  • 集成云安全中心,提供失陷感知

400~4,000

5~500

旗舰版

  • 大型企业强烈推荐,覆盖企业版全部能力

  • 提供独享硬件资源模式

  • 提供多账号的统一组网安全管理能力

纳管其他账号资产

5~500

旗舰版

云防火墙高级版、企业版和旗舰版三个版本,每个版本支持的功能、资产/带宽扩展规格不同,您可以参考详细信息参见功能特性介绍,根据您的实际业务需求选择对应的版本。

2.3使用限制和注意事项

云防火墙支持防护有公网IP的云上资产流量防护,详情参见防护范围

防护范围

范围描述

云资产或流量

  • 互联网方向:ECS公网IP、SLB EIP、SLB公网IP、HAVIP、EIP、ECS EIP、ENI EIP、NAT EIP。

  • VPC到VPC之间:已使用云企业网或高速通道实现两个VPC之间的互通。

  • VPC和本地数据中心(IDC)之间:已使用VBR实现VPC和IDC之间互通。

注:由于历史网络架构的原因,部分公网SLB不支持云防火墙引流,推荐您采用私网SLB加EIP的方案,将流量牵引到云防火墙上进行防护。

云网络类型

  • VPC网络:全面支持阿里云VPC网络

  • 经典网络:互联网边界防火墙和威胁入侵检测(IPS)功能支持防护经典网络。主机边界防火墙支持防护VPC间的流量,不支持防护经典网络。

地域

  • 支持,目前云防火墙服务支持中国内地、中国香港、马来西亚、新加坡、印度尼西亚、德国站点。

协议

  • IPV4:支持IPV4流量转发和防护;

  • IPV6:支持IPV6流量转发,不支持IPV6防护。

加密协议流量

  • 不支持防护IPSec、SSL VPN流量

三.防护策略最佳实践

功能模块

子类

默认状态

是否要调整

防火墙开关

互联网边界

(双向)

在配额范围内全开启

不调整,如果配额不够导致没有全开启需要添加配额

VPC边界

未创建、未开启

需要手动创建并开启

IPS防护

互联网边界

默认拦截-宽松或者拦截-中等模式,根据业务自动选择

不建议调整,默认配置即可

VPC边界

创建VPC边界防火墙时设置拦截模式,开启VPC边界防火墙时自动开启

NAT防火墙

安全正向代理

需要手动创建

NAT防火墙

需要手动创建

访问控制

互联网边界

放行所有流量

根据业务进行配置

VPC边界

开启VPC边界防火墙后手动配置

告警通知

告警通知

开启但需要配置收件人

需要配置收件人

DNS防火墙

DNS防火墙

需要手动创建

统一账号管理

统一账号管理

需要手动创建

3.1启用云防火墙服务1

如上图所示,可以在1处选择一键全部开启防护,2处选中单个资产开启或者关闭保护, 3处【新增资产自动保护】开关打开,则新购买的公网IP资产会自动开启保护。

开启防火墙服务后,云防火墙不会限制业务访问流量,超过公网防护带宽的流量不会被防护,会被默认放行。

3.2外网-内网方向资产防护

边界访问控制策略

外网到内网的边界访问控制策略管控用户访问云上服务入方向的流量,一般建议先配置放行访问云上服务的策略,然后再配置拒绝所有来源、协议、端口和应用的策略,可实现对可信流量放行,对其他可疑流量或恶意流量进行拒绝的访问控制,将外网风险管理做到有放有控,具体详细的配置过程详见下图:

配置互联网边界防火墙策略前,请您确认 互联网边界防火墙开关已开启,否则策略将不生效。

image.pngimage.png

1 创建第一条外对内访问控制策略,先对可信的外部源IP进行放行,优先级设置为最前

2 创建第二条外对内访问控制策略,拒绝其它所有访问源去访问内部网络,优先级设置为最后

若访问源或目的源或端口有多个可使用地址簿或创建多条访问控制策略。

策略配置视频版:策略配置视频版

配置详情参见:互联网边界防火墙访问控制策略配置

:最新创建的策略会展示在访问控制策略列表最后一页的最后一行,确定第一条可信源放行策略的优先级高于第二条所有访问源拒绝策略的优先级,优先级数字越小优先级越高,可点击策略“移动”进行优先级调整。

image.png

更多最佳实践请参考:

配置外到内流量只允许访问某个端口的访问控制策略

流量监测

互联网访问页面展示云上开放的服务、端口、公网IP地址和云产品信息,结合开放公网IP信息和推荐的“智能策略”可加强外对内访问控制策略安全水位。

image.png

入侵检测和防护

云防火墙内置了威胁检测引擎(IPS),可对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截,一般针对木马后门等恶意文件、攻击payload请求行为进行检测和防护,并提供精准的威胁检测虚拟补丁,智能阻断入侵风险。

其检测的运行原理包括利用威胁情报、入侵检测规则、智能模型算法识别、虚拟补丁的方式多方位进行检测。

image.png

在开启该功能时,我们建议您优先开启观察模式,通过试运行一段时间,分析数据误拦截情况后,再开启防护拦截模式功能。

详细的防护配置参见:防护配置

漏洞防护

云防火墙可针对被网络侧攻击利用的漏洞提供攻击防御能力,漏洞信息是由云安全中心漏洞检测功能自动检测并同步到云防火墙,需将威胁引擎运行模式设置为 拦截模式-中等

该模式根据数据分析,一般不会对业务产生误拦截现象。

image.png

漏洞防护对云资产相关的漏洞使用 虚拟补丁 规则进行防御,对于恶意攻击或使用工具攻击漏洞的流量会被防御拦截。

详情参见:漏洞防护

3.3内网-外网方向资产防护

边界访问控制策略

内网到外网的边界访问控制策略管控云上资产访问互联网出方向的流量,一般建议先配置放行访问互联网的策略,然后再配置拒绝所有云上资产访问互联网服务的策略,可实现放行部分云资产需要访问互联网的流量,拒绝全部云上资产流量出网的访问控制,将外联风险做到有放有控,具体详细的配置过程详见下图:

配置互联网边界防火墙策略前,请您确认 互联网边界防火墙开关已开启,否则策略将不生效。

image.pngimage.png

1 创建第一条内对外策略,先对可信的源IP进行放行,优先级设置为最前

2 创建第二条内对外访问控制策略,拒绝其它所有访问源去访问外部互联网,优先级设置为最后

若访问源或目的源或端口有多个可使用地址簿或创建多条访问控制策略。

配置详情参见:互联网边界防火墙访问控制策略配置

注:最新创建的策略会展示在访问控制策略列表最后一页的最后一行,确定第一条可信源放行策略的优先级高于第二条所有访问源拒绝策略的优先级,优先级数字越小优先级越高,可点击策略“移动”进行优先级调整。

更多最佳实践请参考:

配置内到外流量只允许访问某个域名的访问控制策略

流量监测

主动外联活动页面展示云上资产外联域名、外联IP信息,结合“情报标签”和访问详情及日志,可对内对外访问控制策略查漏补缺。2

入侵检测和防护

image.png

购买云防火墙服务后,默认开启对有公网IP的云资产的保护,防护配置-【威胁检测运行模式】默认拦截模式-中等,对于新购防火墙的客户建议更改为观察模式观察模式可对恶意流量进行监控并告警,使用云防火墙2周或1个月后,分析观察业务数据正常后可将观察模式调整为拦截模式加强安全防护水位。

3.4内网-内网方向资产防护

VPC边界访问控制策略

内网到内网的边界访问控制策略管控两个VPC间的通信流量,一般建议先配置放行可信IP访问VPC的策略,然后再配置拒绝其他地址访问VPC的策略,具体详细的配置过程详见下图:

image.pngimage.png

VPC边界防火墙可用于检测和控制两个VPC间的通信流量,VPC边界防火墙开启后默认放行所有流量。

1 先创建可信流量的放行策略,优先级设置为最前

2 再创建一条拒绝其他所有访问的策略,优先级设置为最后

:最新创建的策略会展示在访问控制策略列表最后一页的最后一行,确定第一条可信源放行策略的优先级高于第二条所有访问源拒绝策略的优先级,优先级数字越小优先级越高,可点击策略“移动”进行优先级调整。

主机边界访问控制策略(ECS实例间

主机边界防火墙可以对ECS实例间的入流量和出流量进行访问控制,实现颗粒度更小的ECS实例间的未授权访问。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。

一般建议先配置放行访问云上服务的策略,然后再配置拒绝所有来源、协议、端口和应用的策略。

策略组分为普通策略组和企业策略组,如果您的ECS数量较少,您可以使用普通策略组,即当前的ECS安全组,如果ECS实例多,建议使用企业策略组,相比原有的普通策略组,大幅提升了组内容纳实例数量,不再限制组内私网IP数量,规则配置方式更加简洁便于维护,适用于对整体规模和运维效率有较高需求的企业级用户。

流量监测

VPC访问活动展示VPC与VPC之间的流量趋势、会话、开发端口等,可查看和排查异常流量,为VPC访问控制策略加固防护。3

入侵检测和防护

开启开关,则云企业网到已配置的目标网段的流量会牵引到云防火墙。

开启开关,并配置了VPC边界防火墙访问控制策略或开启了入侵防御拦截模式后,流量才会受到云防火墙的防护。

VPC边界防火墙提供的入侵防御策略选项:基础规则虚拟补丁

4

四.数据分析

4.1通过日志服务分析异常原因

网络不通问题排查:在确认云资产开启云防火墙保护后,流量日志中使用源IP和目的IP条件筛选,查看日志中“动作”列为丢弃确定防火墙拦截。

image.png

第一步 开通日志服务:

image.png

第二步 通过日志分析查询日志6

常见问题分析案例举例:

客户配置访问控制策略禁止公网访问某台ECS,但是测试从公网测试仍可以访问,收集ECS IP信息,在互联网流量日志中筛选目的IP为ECS的IP,查看日志匹配的策略及动作是否为丢弃,若为否再确认客户配置的策略是否有命中数,确认策略优先级问题。

1 收集ECS IP信息,日志设置筛选条件为目的IP:ECS公网IP, 流量方向:入方向, 时间:测试时间范围,点击搜索

image.png

2 若上一步日志中,若动作为“放行”,查看匹配对应的规则名,规则名为 - 为防火墙默认放行,为匹配中云防火墙默认放行策略。

3 若日志中动作为“丢弃”,表示云防火墙匹配到流量,查看访问控制策略是否有命中次数,确认优先级问题。

image.png

4.2将云防火墙流量日志导入第三方系统

云防火墙高级版、企业版和旗舰版与阿里云日志服务(SLS)已打通,开通日志分析功能云防火墙日志会自动投递到SLS中,云防火墙对应的project名为cloudfirewall-project-UID-cn-Region,如下所示:

image.png

日志导出到SOC(安全运维中心)参见:日志导出

五.监控及报告

5.1配置监控告警消息推送

云防火墙提供以下通知:

  • 流量异常通知:当经过云防火墙的峰值流量超过您已购买的公网流量处理能力时,会发送该通知。

  • 周报:云防火墙在您设置好的通知时间,发送周报内容至您设置的邮箱。

  • 失陷主机通知:当云防火墙检测到有主机失陷时,会发送该告警。为确保通知的准确性,部分通知可能会延迟一天发出。

  • 异常外联通知:当云防火墙检测到有主机外联风险IP或者域名时,会发送该通知。

  • 漏洞实时防护通知:当云防火墙发现您资产存在的漏洞被利用发起攻击时,会发送该通知。

  • 资产保护通知:当云防火墙检测到您的公网IP资产或VPC资产未开启保护,会发送该通知。

  • 入侵防护通知:当云防火墙检测到您的入侵防御拦截模式未开启,导致无法自动拦截攻击时,会发送该通知。

  • 新增公网资产通知:当云防火墙检测到您有新增公网资产时,会发送该通知,提醒您为新增资产开启保护。

  • 智能策略推荐通知:云防火墙通过自动化流量学习,为您推荐智能访问控制策略。

配置监控告警通知有利于运维人员第一时间掌握业务安全异常,云防火墙默认支持通过邮件和短信向阿里云账号联系人发送云防火墙相关通知,最多可以添加10个云防火墙通知联系人。

image.png

告警通知设置及添加通知联系人参见:告警通知

5.2配置安全报告

如果您需要周期性的安全报告,云防火墙支持以邮件方式发送周报通知,总结Web资产的安全防护数据、防火墙开启状态、漏洞分析及安全策略数据等信息,帮助了解资产整体安全态势,您可以前往云防火墙控制台周报功能模块设置,具体详细配置点击了解:周报

image.png

云防火墙周报发送时间支持自定义,可选周一到周日中的任意时间,目前周报只支持邮件方式发送。

image.png

六.故障应急

如果您发现因产品或防护规则导致业务存在异常,可以按照一下方法应急处理:

问题类别

处理方式

产品故障

建议您在控制台内关闭引流

关闭步骤:

登录阿里云云防火墙控制台,点击“防火墙开关”,点击对应的资产 “关闭保护”即可。

image

ACL误拦截

建议您配置访问控制放行

注意:威胁情报相关的拦截策略需在访问控制中进行加白处理。1

IPS误拦截

配置IPS拦截模式为观察模式

image

东西向VPC间流量不通

1.提交工单或钉钉群内联系云防火墙售后同学,提供源目IP地址以及所在的网络实例信息

2.如情况紧急需要bypassVPC边界防火墙存在两种情况:

  • CEN基础版与高速通道场景下:控制台关闭VPC边界防火墙即可

image
  • CEN企业版情况下:修改CENTR的转发路由器路由表进行回滚

七.注意事项

7.1互联网边界防火墙开启限制

限制项

说明

处理建议

地域

支持的地域参见:https://help.aliyun.com/document_detail/195657.html

未支持地域开服时间可以留意官网公告

带宽限制

互联网南北向防护带宽:

高级版默认10Mbps 最高扩容至2000Mbps

企业版默认50Mbps 最高扩容至5000Mbps

旗舰版默认200Mbps 最高扩容至5000Mbps

根据实际业务需求确认购买量

防护配额

互联网南北向防护公网IP数:

高级版默认20个 最高扩容至1000个

企业版默认50个 最高扩容至2000个

旗舰版默认400个最高扩容至4000个

根据实际业务需求确认购买量

7.2访问控制配置限制

限制项

说明

处理建议

授权规格数

不同版本的授权规格数上限如下,如超过则不能配置

高级版:4000条

企业版:10000条

旗舰版:20000条

1、联系云防火墙售后进行策略优化

2、联系云防火墙售后进行扩容申请

说明:扩容上限为原来上限的两倍。

地址薄

地址薄中地址数量不能超过1000条

新建地址薄。

7.3安全正向代理开启限制

限制项

说明

处理建议

地域

支持的地域参见:https://help.aliyun.com/document_detail/195657.html

未支持地域开服时间可以留意官网公告

特殊地域

杭州、深圳、北京地域需要后台加白处理

联系云防火墙售后加白处理

dnat

如果nat中存在dnat条目则不支持开启安全正向代理

删除dnat条目

高级特性

待开启VPC需要支持高级特性才能开启安全正向代理

删除或升级VPC下不支持高级特性的实例,涉及实例规格参考https://help.aliyun.com/document_detail/163020.htm

ENI

nat网关中的eni数量不能超过5

如超过联系云防火墙售后加白处理

7.4VPC边界防火墙开启限制

限制项

说明

处理建议

支持防护数

东西向VPC边界防火墙支持防护个数:

高级版不支持VPC边界防火墙

企业版默认2个 最高扩容至200个

旗舰版默认5个 最高扩容之500个

根据实际业务需求确认购买量

可防护VPC间最大带宽

东西向VPC边界防火墙可防护最大流量:

高级版不支持VPC边界防火墙

企业版最高支持100Mbps

旗舰版最高支持1Gbps

如需扩容请联系云防火墙售后人员

通用-VPC数​

每个地域最多支持19个VPC实例和1个VPC边界防火墙(即VPC边界防火墙会占用1个配额)。开启VPC边界防火墙后,每个地域会自动新增一个VPC(即您在专有网络管理控制台的专有网络页面,查看到的实例名称为Cloud_Firewall_VPC的新增VPC)。VPC配额不足的情况下,您将无法开启VPC边界防火墙。

如果配额已满,您需要前往专有网络管理控制台的配额管理页面修改VPC配额的上限。

注意 如果VPC配额上限已无法修改,请咨询云防火墙钉钉群售后人员。

跨账号VPC未授权

在云企业网中存在跨账号开通的VPC时,如果跨账号开通的VPC未获得云防火墙的授权或您的云防火墙版本不是旗舰版,您将无法创建VPC边界防火墙。

  • 您需要用对应账号登录云防火墙完成授权后,再开启VPC边界防火墙。关于授权的操作,请参见授权云防火墙访问云资源

  • 需要升级到云防火墙旗舰版。相关操作,请参见升级

地域

云企业网中的VPC所在的地域都需要是VPC边界防火墙支持的地域,否则会导致无法为该云企业网开启VPC边界防火墙。

云企业网中的VPC所在的地域都是VPC边界防火墙支持的地域。相关内容,请参见VPC边界防火墙支持的地域

公网私用

如果您是在2021年05月01日之前开通了VPC边界防火墙,并且您的网络拓扑中存在公网私用的地址段,开启VPC边界防火墙后,您的服务器对SLB和RDS的访问将会中断。​

建议按标准规划您的网络,避免出现公网私用的情况。

注意 2021年05月01日及之后开通VPC边界防火墙的用户无此限制

cen发布路由数

云企业网中发布的路由数最大为100。

建议您减少发布的路由数,并将路由数减少到100条以内。如有需要,请联系云防火墙钉群售后人员。

vpc路由数

开启VPC边界防火墙会为用户添加自定义路由。由于每个用户VPC路由表中自定义路由的数量存在限制,超过数量限制则无法再为您开启VPC边界防火墙。VPC实例自定义路由的最大数量为400。

增加VPC的配额。

您可以前往专有网络管理控制台的配额管理页面,修改当前账号下VPC路由表的自定义路由配额。

vpc存在自定义路由表

在云企业网中开启VPC边界防火墙时,如果VPC中存在自定义路由表且绑定了vSwitch,不支持开通VPC边界防火墙。

您可以删除相关的自定义路由表或vSwitch解除绑定自定义路由表。

VPC互访流量

以下非VPC间互访流量不经过云防火墙,因此无法受到云防火墙的防护:

  • VBR间的互访流量

  • CCN间的互访流量

  • VBR与CCN间的互访流量

如果您需要进一步咨询,请联系云防火墙钉钉群售后人员。

SLB和RDS

SLB和RDS等云服务在开启或关闭VPC边界防火墙过程中,会出现长连接失效问题。

  • 在开启或关闭VPC边界防火墙的过程前,暂时设置SLB的健康检查为本VPC后端,避免健康检查抖动。

  • 在客户端增加连接保活以及重连机制。

已开启VPC边界防火墙的VPC数量和地域数量的总和小于等于32个(未开启VPC边界防火墙不影响)。

无。

cen内VPC数量限制

在云企业网中开启VPC边界防火墙时,支持添加的网络实例数量为15个。

建议您使用云企业网转发路由器。相关信息,请咨询云防火墙钉钉群售后人员。

routemap

限制

为云企业网创建VPC边界防火墙时,该云企业网中不能存在策略行为设置为拒绝类型的路由策略(系统默认生产的优先级为5000拒绝类型路由策略除外),否则将会导致业务中断。

建议您删除相关路由策略,或咨询云防火墙钉钉群售后人员。

转发路由器网络实例限制

在云企业网中开启VPC边界防火墙时, 转发路由器支持添加的网络实例(包含VPC、VBR和CCN)在每个地域数量最多为100个。

此限制存在于企业版转发路由器。

无。

说明 转发路由器支持添加的VPC中,包含了开启VPC边界防火墙时自动新增的VPC(即您在专有网络管理控制台的专有网络页面,查看到的实例名称为Cloud_Firewall_VPC的新增VPC)。

手动模式vpc加白

转发路由器存在如下限制:

  • 如果已创建的VPC边界防火墙使用的是自动模式, 创建VPC边界防火墙后,需要联系售后服务人员将自动新增的VPC(名称是Cloud_Firewall_VPC)加入白名单之后,才能开启VPC边界防火墙。

  • 如果已创建的VPC边界防火墙使用的是手动模式,需要联系售后服务将该VPC加入白名单之后,才能开启VPC边界防火墙。

此限制存在于企业版转发路由器。

如果您需要将VPC加入白名单,请联系钉钉群售后人员

非VPC互访

在高速通道中开启VPC边界防火墙,不支持防护VPC跨地域、跨账号及VPC与VBR间的互访流量。

此限制存在于高速通道场景下。

如果需要防护VPC跨地域、跨账号或VPC与VBR间的互访流量,建议您改为组云企业网组网。相关信息,请咨询产品钉钉群售后人员。

自定义路由表条数限制

开启VPC边界防火墙会为用户添加自定义路由。由于每个用户VPC路由表中自定义路由的数量存在限制,超过数量限制则无法再为您开启VPC边界防火墙。VPC实例自定义路由的最大数量为400。

此限制存在于高速通道场景下。

增加VPC的配额。

您可以前往专有网络管理控制台的配额管理页面,修改当前账号下VPC路由表的自定义路由配额。

32位网段路由限制

在高速通道中不支持32位网段的路由。如果有32位网段的路由,开启VPC边界防火墙后,会导致对此网段的网络访问中断。

此限制存在于高速通道场景下。

建议您先将网段掩码长度修改为小于等于30后,再开启VPC边界防火墙,或者联系产品钉钉群售后人员。

八.安全专家服务

购买开通云防火墙服务后,您可以在管理控制台中通过钉钉扫描二维码直接联系阿里云安全服务专家。

image.png

安全专家将针对您的业务场景提供云防火墙配置指导、安全攻击分析和防御相关安全服务,基于业务实际情况帮助您更好地使用云防火墙对业务进行安全防护,保障您业务的网络应用安全。

说明:为了便于快速分析和解决问题,在远程技术支持服务过程中,可能需要您授权阿里云安全专家查看业务数据。所有安全专家服务人员都将严格遵循服务授权和保密原则,防止您的信息泄露。

九.各功能最佳实践

目录
相关文章
|
7月前
|
弹性计算 监控 安全
阿里云服务器配置选择流程(2023新版教程)
阿里云服务器配置选择流程(2023新版教程)
173 0
|
7月前
|
域名解析 缓存 运维
堡垒机轻量版在网页运维时提示连接中断
堡垒机轻量版在网页运维时提示连接中断
85 1
|
8月前
|
运维 安全 数据可视化
01-基础设施安全-5-云防火墙-ACA-02-云防火墙快速入门
01-基础设施安全-5-云防火墙-ACA-02-云防火墙快速入门
102 1
|
10月前
|
弹性计算 负载均衡 安全
阿里云SLB简介和购买流程
阿里云SLB是阿里巴巴集团旗下的一个功能强大且高性能的负载均衡服务。在互联网的快速发展和技术创新的推动下,SLB成为了保证网站和应用程序可靠性、可扩展性和高可用性的重要组成部分之一。通过阿里云SLB,用户可以轻松地将流量分发到多个服务器,从而提高系统的整体性能和应用的可用性。这样每台服务器承受的压力都会减小很多
|
11月前
|
安全 容灾 网络安全
阿里云主机简介和购买使用流程
阿里云是阿里巴巴旗下的云计算品牌,其主机产品作为阿里云的核心产品之一,受到了越来越多用户的青睐。通过阿里云主机,用户可以获得高性能、高安全、高可靠的计算资源,更好地满足自己的业务需求。本文将对阿里云主机进行全面介绍,包括主机类型、性能特点、购买流程等。
|
12月前
《阿里云产品手册2022-2023 版》——云防火墙
《阿里云产品手册2022-2023 版》——云防火墙
|
12月前
|
运维 安全
《阿里云产品手册2022-2023 版》——运维安全中心(堡垒机)
《阿里云产品手册2022-2023 版》——运维安全中心(堡垒机)
|
弹性计算
阿里云服务器开放全部端口操作流程
阿里云服务器开放全部端口操作流程,阿里云服务器端口怎么全部打开?在安全组中开启端口号,在安全组中把端口范围设置为-1/-1,授权对象填0.0.0.0/0,即可开通全部端口号,阿腾云来详细说下阿里云服务器端口全部打开教程:
1589 0
|
弹性计算 负载均衡 网络安全
计算巢试用部署私网连接最佳实践
功能介绍目前试用服务实例支持VPC私网连接功能,通过私网连接可以打通用户VPC与服务实例所在的VPC,用户在计算巢部署试用服务实例并进行私网访问时可以有效避免网络影响并提升数据安全性。本文介绍如何配置使用服务的私网连接功能。功能演示服务商侧创建服务目前仅服务模板内容中包含SLB(ALIYUN::SLB::LoadBalancer)资源的服务支持私网连接功能。登录计算巢控制台。选择以下任意一种方式进
146 1
计算巢试用部署私网连接最佳实践
|
弹性计算 运维 Linux
《ECS运维指南之Windows系统诊断》电子版地址
本书结合阿里云工程师多年云上ECS运维经验,从实战角度讲解windows,实例丰富,容易理解,内容实用,适合广大运维工程师学习。
97 0
《ECS运维指南之Windows系统诊断》电子版地址