开发者社区> 潞人钇> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

阿里云防火墙测试调研

简介: 阿里云防火墙测试调研 一.主要功能 云防火墙是阿里云推出的公有云环境下的saas式防火墙,从产品调研和测试中,我们了解到其主要有以下几个功能 1.策略控制(南北向,东西向) 2.网络流量分析(主动外连,流量/连接等活动趋势) 3.IPS(基于内置规则的基础防御,针对高危漏洞的虚拟补丁) 4.全量日志(流量日志,操作日志) 二.功能体验 试用过程中,主要测试和验证几个核心功能当前阶段能达到的效果,以及从实用性的角度来考察能不能解决或优化公司当前面临的一些问题。
+关注继续查看

阿里云防火墙测试调研


一.主要功能

云防火墙是阿里云推出的公有云环境下的saas式防火墙,从产品调研和测试中,我们了解到其主要有以下几个功能

1.策略控制(南北向,东西向)

2.网络流量分析(主动外连,流量/连接等活动趋势)

3.IPS(基于内置规则的基础防御,针对高危漏洞的虚拟补丁)

4.全量日志(流量日志,操作日志)

二.功能体验

试用过程中,主要测试和验证几个核心功能当前阶段能达到的效果,以及从实用性的角度来考察能不能解决或优化公司当前面临的一些问题。

1.策略控制

安全策略---访问控制菜单下,主要有三个标签页,分别为内-外流量,外-内流量,内-内流量;

其中内-外流量和外-内流量为面向互联网的流量,也即俗称的南北向流量;内-内流量也即俗称的东西向流量,对我们而言,内-内这个标签页下面的策略,为云防火墙自动从安全组同步和学习过来的策略。

如下图,安全组策略被自动同步到了内-内流量的标签页,这里可以直接修改对应的安全组策略,发布后生效:

c3590af35968692fa9bfab0856ba889fdd1e3e19

从配置管理的角度,内-内这里依然是通过安全组规则来实现的,只不过是另一个配置入口,并无太大改变;

另一方面,内–外流量和外–内流量这里的策略配置,则和安全组没有关系,且支持自定义ip地址簿等能简化配置的功能(我们还提了建议,支持自定义端口组),基本上是一个标准的防火墙配置,从管理配置体验上,比安全组好很多,且能大幅降低策略数目,提高配置效率;

781aa9967be00f2189978ab2b5fd8bc17beca986


ee3e5e98c422025af30e799af4829e8d9044cb3f

不过,遗憾的是,原来以为云防火墙以VPC作为一个流量单元,进出VPC的策略控制(包含VPC去往互联网,以及VPC和VPC之间的流量)均可直接在外--内和内--外标签页下进行配置,后来了解到,外—内流量和内—外流量这两个标签页下,只能控制和配置去往互联网的策略,不支持两个VPC之间的,而我们目前云上的策略控制主要是通过VPC之间来做控制的,EIP已经很少了,所以这一块功能,目前并不能为我们带来太大便利。

关于这个问题,云防火墙产品团队表示,后续在东西向高速通道上会有专门的组件。但现在是不支持的。

2.网络流量分析

基于当前的互联网攻击态势,NTA网络流量分析其实是我们很关注的功能,增加了一个新的攻击发现维度。

主动外联这里,可以看到当前网络环境下,主动连接的外部域名;如果将该模块与第三方威胁情报平台对接,则可以快速的定位出可能存在问题的访问记录。从测试验证的角度来看,主动外连的域名记录基本是完整的。

4d10c656ac3891a836f3f3890906e1c30f4ac3e0

此外还提供基于IP和端口的数据统计,有一定的参考价值。

0122893509da4665a15e1ad8e6a9e0ecac189672

 

3.IPS

IPS功能模块支持观察模式和拦截模式,主要功能包括基础防御,以及针对高危漏洞的虚拟补丁

%E5%B1%8F%E5%B9%95%E5%BF%AB%E7%85%A7%202

 

测试过程中,因为加入测试的EIP只有两个,所以基础防御功能实际效果尚不完全确定。

 

值得一提的是,虚拟补丁这个功能看上去还不错,启用方便,阿里云针对热门漏洞,也能及时推出热补丁:

%E5%B1%8F%E5%B9%95%E5%BF%AB%E7%85%A7%202%E5%B1%8F%E5%B9%95%E5%BF%AB%E7%85%A7%202

%E5%B1%8F%E5%B9%95%E5%BF%AB%E7%85%A7%202

 

4.日志功能

该功能模块记录了基础的操作行为和流量日志,可以满足基本的操作审计以及流量的回溯分析。对于威胁事件,也有一定记录;

%E5%B1%8F%E5%B9%95%E5%BF%AB%E7%85%A7%202

fee28d9a7c653dd4e1f66d7abb72c23aec95dba0


3c6c9d701fbff66745d8216bc5d15f9dfac207a4

三.计费模式与版本

当前,云防火墙提供几种版本供用户选择:

188b934201d8339e77de08e424ebedf587440447

84aed28d2fb8cc7ad5184ab0640c773d69c1897c

但从上表中可以看到,企业版和旗舰版,费用均和ECS数目有关,较不适合我司这种ECS数量多,且增长较快的企业;

而对于高级版,主要存在两个问题

1.高级版的计费模式中,也存在和带宽相关的扩展费用,且目前费用并不低;主要原因在于其扩展带宽的计费,是按照所有EIP带宽之和的最大值来计算的。

2.高级版模式,并不支持东西向访问控制;

事实上我们并不强制需要访问控制功能,但是如果有云防火墙能帮助我们优化这一块的管理,当然会更好。我们目前以VPC为级别进行访问控制,而按照阿里云的说法,目前并不支持VPC级别的访问控制;即使以后推出,这个功能也只会在东西向的访问控制模块里,而高级版并不支持这一功能。所以访问控制这一功能模块对我们的改善有限,除非以后该产品再进行比较大的改进。

四.总结

综合以上分析,得到以下结论

1.功能方面,网络流量分析以及IPS模块,整体功能还是很不错的,对于提升安全感知能力和防护水平会有帮助;而访问控制功能,以我们当前使用环境和产品现状,暂时没有太大作用;不过该功能和用户当前云上安全隔离的实现方式有关,在有的用户环境下,特别是EIP较多的公司里,相信还是会有帮助的。

2.费用方面,目前的计费模式虽然较之前已经不一样了,但个人认为依然有些偏高(主要是带宽扩展费用),希望这一方面将来有所改善


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云简单产品调研
随着社会的发展与科技水平的不断提高,在全球IT视野下,云服务较于传统IT增长率大幅增长,阿里云顺应云潮,作为国内最大的云服务提供商之一,其拥有强大的基础设施,拥有遍布全国200多个,海外20多个CDN节点,,总带宽8Tbps,全网安全保护,多运营商BGP接入,使用阿里云服务,无论用户在哪里从哪个运营商接入,访问服务器均有同样优质的用户体验。
258 0
【送阿里云代金券!】阿里云“API满意度”有奖调研启动
只需花费几分钟,即有机会获得阿里云通用代金券。
1936 0
阿里云性能测试工具PTS介绍
性能测试 PTS(Performance Testing Service)是具备强大的分布式压测能力的 SaaS 压测平台,可模拟海量用户的真实业务场景,全方位验证业务站点的性能、容量和稳定性。
7879 0
阿里云Web应用防火墙接入案例分享之http2.0
一、概述 阿里云云盾Web应用防火墙(Web Application Firewall, 简称 WAF)是一款网络安全产品,基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击;在本篇文章中,笔者通过两个http2.0业务的接入案例分享,给后续的业务接入提供参考借鉴的地方。
12041 0
如何配置阿里云服务器防火墙?
虽然请求进去了,但是没有响应,我改了接口了,为何会这样,百思不得其解,幸好高人指点迷津。
23275 0
防火墙
DDos攻击:http://www.freebuf.com/articles/network/183182.html#comment-255907 ensp常用命令 system-viem #启动,进入用户视图 sysname NY #主机命名 d...
1083 0
+关注
2
文章
20
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载