阿里云防火墙测试调研

一.主要功能

云防火墙是阿里云推出的公有云环境下的saas式防火墙，从产品调研和测试中，我们了解到其主要有以下几个功能

1.策略控制（南北向，东西向）

2.网络流量分析（主动外连，流量/连接等活动趋势）

3.IPS（基于内置规则的基础防御，针对高危漏洞的虚拟补丁）

4.全量日志（流量日志，操作日志）

二.功能体验

试用过程中，主要测试和验证几个核心功能当前阶段能达到的效果，以及从实用性的角度来考察能不能解决或优化公司当前面临的一些问题。

1.策略控制

安全策略---访问控制菜单下，主要有三个标签页，分别为内-外流量，外-内流量，内-内流量；

其中内-外流量和外-内流量为面向互联网的流量，也即俗称的南北向流量；内-内流量也即俗称的东西向流量，对我们而言，内-内这个标签页下面的策略，为云防火墙自动从安全组同步和学习过来的策略。

如下图，安全组策略被自动同步到了内-内流量的标签页，这里可以直接修改对应的安全组策略，发布后生效：

从配置管理的角度，内-内这里依然是通过安全组规则来实现的，只不过是另一个配置入口，并无太大改变；

另一方面，内–外流量和外–内流量这里的策略配置，则和安全组没有关系，且支持自定义ip地址簿等能简化配置的功能（我们还提了建议，支持自定义端口组），基本上是一个标准的防火墙配置，从管理配置体验上，比安全组好很多，且能大幅降低策略数目，提高配置效率；

不过，遗憾的是，原来以为云防火墙以VPC作为一个流量单元，进出VPC的策略控制（包含VPC去往互联网，以及VPC和VPC之间的流量）均可直接在外--内和内--外标签页下进行配置，后来了解到，外—内流量和内—外流量这两个标签页下，只能控制和配置去往互联网的策略，不支持两个VPC之间的，而我们目前云上的策略控制主要是通过VPC之间来做控制的，EIP已经很少了，所以这一块功能，目前并不能为我们带来太大便利。

关于这个问题，云防火墙产品团队表示，后续在东西向高速通道上会有专门的组件。但现在是不支持的。

2.网络流量分析

基于当前的互联网攻击态势，NTA网络流量分析其实是我们很关注的功能，增加了一个新的攻击发现维度。

主动外联这里，可以看到当前网络环境下，主动连接的外部域名；如果将该模块与第三方威胁情报平台对接，则可以快速的定位出可能存在问题的访问记录。从测试验证的角度来看，主动外连的域名记录基本是完整的。

此外还提供基于IP和端口的数据统计，有一定的参考价值。

3.IPS

IPS功能模块支持观察模式和拦截模式，主要功能包括基础防御，以及针对高危漏洞的虚拟补丁

测试过程中，因为加入测试的EIP只有两个，所以基础防御功能实际效果尚不完全确定。

值得一提的是，虚拟补丁这个功能看上去还不错，启用方便，阿里云针对热门漏洞，也能及时推出热补丁：

4.日志功能

该功能模块记录了基础的操作行为和流量日志，可以满足基本的操作审计以及流量的回溯分析。对于威胁事件，也有一定记录；

三.计费模式与版本

当前，云防火墙提供几种版本供用户选择：

但从上表中可以看到，企业版和旗舰版，费用均和ECS数目有关，较不适合我司这种ECS数量多，且增长较快的企业；

而对于高级版，主要存在两个问题

1.高级版的计费模式中，也存在和带宽相关的扩展费用，且目前费用并不低；主要原因在于其扩展带宽的计费，是按照所有EIP带宽之和的最大值来计算的。

2.高级版模式，并不支持东西向访问控制；

事实上我们并不强制需要访问控制功能，但是如果有云防火墙能帮助我们优化这一块的管理，当然会更好。我们目前以VPC为级别进行访问控制，而按照阿里云的说法，目前并不支持VPC级别的访问控制；即使以后推出，这个功能也只会在东西向的访问控制模块里，而高级版并不支持这一功能。所以访问控制这一功能模块对我们的改善有限，除非以后该产品再进行比较大的改进。

四.总结

综合以上分析，得到以下结论

1.功能方面，网络流量分析以及IPS模块，整体功能还是很不错的，对于提升安全感知能力和防护水平会有帮助；而访问控制功能，以我们当前使用环境和产品现状，暂时没有太大作用；不过该功能和用户当前云上安全隔离的实现方式有关，在有的用户环境下，特别是EIP较多的公司里，相信还是会有帮助的。

2.费用方面，目前的计费模式虽然较之前已经不一样了，但个人认为依然有些偏高（主要是带宽扩展费用），希望这一方面将来有所改善