云防火墙(Cloud Firewall)帮助您在云上实现业务隔离和防护,确保业务安全且满足合规要求。本文介绍如何更好地使用云防火墙为您的业务提供防护保障。
为什么需要云防火墙实现云上安全域安全隔离和防护?
基于业务类型、网络规模、业务管理等因素的影响,一般企业上云后的安全域处于默认模式,这样就会导致随着业务的发展,业务网络架构变得混乱。例如,开放了不必要的端口发布到互联网、内部通信访问权限太大等。如果业务被恶意入侵,会存在很大的安全隐患。
网络安全域类似酒店,每个不同的入住客人可以入住不同的楼层和房间,互不干扰。在实际的IT业务环境中,数据库服务器与供客户访问的Web服务器显然不是一个安全等级,测试环境的服务器与正式提供服务的生产服务器也不是一个安全等级。因此,我们要对相应的业务资产从业务功能、通信关系等方面划分安全域。
如何设计安全域隔离业务企业业务一般按业务维度划分为互联网业务、内部系统;按系统维度分区:生产、开发测试、共享区等。针对不同业务区可通过云防火墙实现安全域隔离和防护。
互联网入安全设计
设计原则:保证灵活性、弹性伸缩能力和安全性。
设计建议:
配置云防火墙互联网边界防火墙管控公网入向流量(可搭配WAF和DDoS防护)。
可选:配置统一隔离区DMZ(Demilitarized Zone)VPC,搭配弹性公网IP(简称EIP)、负载均衡SLB、ECS公网等提供互联网入向连接。
互联网出向安全设计
设计原则:保证灵活性、弹性伸缩能力和安全性。
设计建议:
配置云防火墙互联网边界防火墙和NAT边界防火墙分别管控公网和私网出向流量。
可选:配置统一隔离区DMZ(Demilitarized Zone)VPC或不同业务VPC,搭配弹性公网IP(简称EIP)、NAT网关等提供互联网出向连接。
云上业务互联安全设计
设计原则:环境隔离,必要的连通同时保证安全。
设计建议:
配置云企业网(CEN),推荐企业版转发路由器,绑定VPC实现云上网络实例互联,或绑定VBR实现跨云互联互访。
配置云防火墙VPC边界防火墙实现云上跨VPC或跨云业务流量安全4~7层访问控制和横向攻击防护和审计溯源。
配置云防火墙主机边界防火墙实现VPC内微隔离。
云上与IDC机房业务互联安全设计
设计原则:云上与本地机房互访互通,同时保证安全。
设计建议:
配置云企业网(CEN)或高速通道,本地IDC机房通过VBR接入云企业网或高速通道与云上VPC业务区互访。
配置VPC边界防火墙实现本地IDC机房与云上VPC业务区互访异常流量监控、4~7层精细化访问控制策略访问控制、横向攻击防护、日志审计等。
针对大型的集团子公司业务:生产网的安全域又会分为集团安全域、子分公司安全域等。集团安全域又划分为生产网外网区、内网区和生产网DMZ区。生产内网的安全域又会根据业务类型的不同分为普通业务安全域、核心业务安全域、数据库安全域等。
针对一般的小型公司业务:根据业务类型、功能模块、网络通信关系等维度,划分为普通业务安全、核心业务安全域、数据安全域、DMA安全域(邮件系统、门户网站)等。
满足等级保护或安全内审等合规南北向和东西向流量访问控制部署云防火墙实现南北向和东西向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。
部署云防火墙实现统一管理互联网到业务的南北向访问策略和业务与业务之间的东西向微隔离策略,达到协议、端口、地域、应用级访问控制粒度。
您需要根据业务部署云防火墙实现策略命中计数功能,确保没有冗余的策略。云防火墙访问控制策略可配置优先级,您可以根据业务需求优化访问控制列表。
部署云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。
部署云防火墙实现状态级对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。
部署云防火墙实现跨VPC数据流的应用协议、内容的访问控制。
针对恶意流量的入侵防御机制部署云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。
部署云防火墙实现出方向流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。
部署云防火墙结合威胁情报和智能引擎等对云上进出网络的恶意流量进行实时检测与阻断,支持防御挖矿蠕虫等新型网络攻击,并通过积累大量恶意攻击样本,形成精准防御规则。云防火墙入侵检测功能支持发现挖矿蠕虫感染事件。
部署云防火墙实现攻击行为的检测和记录,提供网络阻断功能,记录风险级别、事件名称、防御状态、源IP、目的IP、方向、判断来源、发生时间和动作。
部署云防火墙实现网络恶意代码攻击的检测和防护,并定期实时在线更新恶意代码检测规则。
针对威胁事件提供日志溯源能力部署云防火墙利用日志审计模块记录所有流量日志、事件日志和操作日志。
部署云防火墙实现日志记录事件被扫描到的时间、威胁类型、进出方向、源IP和目的IP、应用类型、严重性等级以及动作状态等信息。
部署云防火墙实现日志分析功能,依托日志服务产品,存储日志数据,并提供实时日志分析能力。
具体信息,请参见等保合规能力说明。
选择适合的云防火墙版本什么是云防火墙更多信息,请参见、应用场景。
如何根据业务选择合适的云防火墙版本云防火墙分为按量版(含按量节省套餐包)、高级版、企业版和旗舰版四个版本,每个版本支持的功能、资产、带宽扩展规格不同。根据如下表格说明选择合适的版本。更多信息,请参见。
如何进行版本选型按量版(含按量节省套餐包):云防火墙按量版采用先使用后付费的计费方式,可搭配按量节省套餐包(预付费)节省更多成本。
适用于业务用量经常变化、资源使用有临时性和突发性等企业场景。
适用于资产数(一般公网资产10个以下)或流量较小(一般峰值带宽10 Mbps以下)的中小企业场景。
包年包月版:高级版、企业版、旗舰版。包年包月是一种先付费后使用的预付费方式。通过包年包月,您可以提前预留资源,实现较大规格量资产的安全保护。
适合业务用量稳定、资源使用稳定的企业场景。
适用于资产数较多(一般公网资产10个以上)或流量较大(一般峰值带宽10 Mbps以上)的企业场景。
防护公网IP数
防护VPC数量
是否支持多账号管控
建议云防火墙版本
核心功能
1~1,000个
无
否
按量版
入门级防火墙。
提供互联网方向网络安全防御能力。
提供基础网络入侵防御(NIPS)能力。
20~1,000个
无
1~20个
高级版
50~2,000个
2~200个
1~50个
企业版
企业级防火墙,覆盖高级版全部能力。
提供VPC间网络安全防御能力。
安全组统一管理与可视化。
集成云安全中心,提供失陷感知。
400~4,000个
5~500个
1~1000个
旗舰版
大型企业推荐使用旗舰版,覆盖企业版全部能力。
提供多账号的统一组网的安全管理能力。
纳管其他阿里云账号资产
高级版:1~20个
企业版:1~50个
旗舰版:1~1,000个
是
高级版、企业版、旗舰版
防护范围
说明
相关文档
防护的云资产和流量
云防火墙可以防护以下云资产或流量:
互联网边界防火墙(南北向):ECS公网IP、ECS EIP、ECS IPv6、CLB公网IP、CLB EIP、ALB EIP、NLB EIP、SLB IPv6、EIP(含L2 EIP)、ENI EIP、NAT EIP、HaVip EIP、堡垒机IP资产等。
NAT边界防火墙:私网访问公网的流量。
VPC边界防火墙(东西向):
企业版转发路由器的VPC边界防火墙
同地域多个专有网络VPC(Virtual Private Cloud)互访的流量。
通过企业版转发路由器TR(Transit Router)实现跨地域多个VPC互访的流量。
VPC和边界路由器VBR(Virtual Border Router)互访的流量(即VPC和本地数据中心IDC互访的流量)。
VPC和云连接网CCN(Cloud Connect Network)互访的流量。
多个VBR互访的流量。
CCN和VBR互访的流量。
基础版转发路由器的VPC边界防火墙
同地域多个专有网络VPC(Virtual Private Cloud)互访的流量。
通过基础版转发路由器TR(Transit Router)实现跨地域多个VPC互访的流量。
VPC和边界路由器VBR(Virtual Border Router)互访的流量(即VPC和本地数据中心IDC互访的流量)。
VPC和云连接网CCN(Cloud Connect Network)互访的流量。
高速通道VPC边界防火墙
高速通道连接专有网络VPC(Virtual Private Cloud)模式下,同账号同地域多个VPC互访的流量。
VPC对等连接模式下,同地域多个VPC互访的流量。
主机边界防火墙:对ECS实例的出入流量进行访问控制。
说明
由于历史网络架构的原因,少量公网SLB不支持云防火墙引流,推荐您采用私网SLB加EIP的方案,将流量牵引到云防火墙上进行防护。
云网络类型
VPC网络:全面支持阿里云VPC网络。
经典网络:互联网边界防火墙和威胁入侵检测(IPS)功能支持防护经典网络。主机边界防火墙支持防护VPC间的流量,不支持防护经典网络。
-
地域
云防火墙支持的地域信息。