云防火墙文档学习
文档原文:阿里云云防火墙(Cloud Firewall)是业界首款公共云环境下的SaaS化防火墙,可统一管理互联网到业务的访问控制策略(南北向)和业务与业务之间的微隔离策略(东西向)。内置的威胁入侵检测模块(IPS)支持全网流量可视和业务间访问关系可视,是用户业务上云的第一个网络安全基础设施。
重点:因此云防火墙是一款SaaS服务,并且阿里云的云防火墙是业界首款SaaS化的防火墙,对防护业务的保护提供包括两块,互联网到业务的为南北向(或者也可以称为纵向)策略,而业务与业务之间的为东西向(或者也可以称为横向)策略。云防火墙的内部集成了威胁入侵监测模块。
文档原文:云防火墙主要由以下两个控制模块组成:南北向流量控制模块:主要用于实现互联网到主机间的访问控制,支持4-7层访问控制。东西向流量控制模块:主要是利用安全组对主机之间的交互流量进行控制,实现4层访问控制。
重点:云防火墙的两个南北向和东西向模块有所不同,南北向的访问控制支持4-7层的访问控制,而东西向的为4层访问控制,东西向的云防火墙主要利用的是安全组来进行控制。
产品评测
概览界面
概览界面展示的是云防火墙的整体情况,可视化界面可以看到左边列表里的所有模块的实时情况,并且已经集成了威胁入侵检测的模块。防火墙内所包含的服务能够在已开启安全能力模块可视化窗口清晰看到。
防火墙开关
防火墙的开关决定的是是否使用云防火墙以及云防火墙对资产的防护情况。从可视化界面中可以看到,开启了云防火墙功能后,云防火墙已经对实验所用的1台ECS云服务器进行防护,从示意图中可以看到防护的原理示意图,即云防火墙隔开了互联网与ECS服务器,因此这个图展示的南北向的防护,即ECS与互联网之间的访问控制。
防火墙的工作情况在原理示意图下展示,主要包括三个方面,公网IP的防护情况,所防护的ECS的地域情况和资产的保护情况。本次实验所用的ECS为张北区域,因此从防护情况来看,云防火墙对于1台ECS的公网IP进行了防护,所防护的地域为华北3,全部1台ECS服务器都在防护中。
网络流量分析
网络流量分析是云防火墙控制台界面的核心,从流量的方向来看,功能模块将方向进行了区分,分为主动外联和互联网访问活动,确保了入方向的情况和出方向的情况能够分开展示。防护控制的内容包括域名、IP、端口,防护的主机的公网IP和私网IP的流量情况都能被记录和显示。
互联网流量方面,提供流量趋势图,反映的是南北向的流量变化情况,能够表示请求流量和响应流量,以颜色来进行区分。
以上显示的是对于威胁、漏洞和入侵检测的情况,如果说之前显示的是流量的情况,那么这两部分反映的就是云防火墙面对各类威胁的防护和处理情况概览。
安全策略
安全策略方面,可以从防护原理图中看到,分为南北和东西两个方向,南北为ECS至互联网,东西为ECS集群之间即业务与业务之间的访问控制。用户可以自行新增策略或是使用阿里云提供的AI智能策略进行部署。
入侵防御方面,体现的是阿里云对于云防火墙提供的可供选择的服务,这些服务也是云防火墙SaaS化后的最大优势,相比传统防火墙能够做到滚动升级,自由选择,阿里云提供的最新服务情况在防火墙控制台界面就能够被显示。
日志
日志服务方面提供日志审计和日志分析,日志审计即可以显示过去7日的日志情况,而日志分析需要另行开通,通过SQL语言等对于过去6个月的访问日志进行分析。
工具
工具方面,云防火墙提供抓包工具和告警设置功能。
总结
通过对云防火墙的评测,在边界防护范围方面和传统防火墙一致,具有南北向和东西向访问控制。但是从云服务的角度,SaaS化的云防火墙在东西向即虚拟机之间的访问控制上相比传统防火墙部署更为灵活,并且因为基于安全组的原因,在虚拟机的防护上具有天然的优势,可以说是为了更适应云服务而诞生的防火墙。SaaS化的另一个巨大优势是滚动升级的周期可以缩短,甚至做到实时滚动升级,升级速度因为集成在云服务中所以相比传统防火墙具有天然优势,面对多变的网络环境,无论从响应速度、升级速度还是运维人员的工作效率提升都具有巨大价值。
