本文主要介绍了云防火墙相关的常见术语。

互联网边界防火墙

互联网边界防火墙主要用于检测互联网和云上资产间的通信流量,它是一种集中式管理的防火墙。互联网边界防火墙部署在互联网和用户主机之间,原理图示:

互联网边界防火墙

互联网边界防火墙内置威胁入侵防御模块,支持失陷主机检测、主动外联行为的阻断、业务访问关系可视等功能。互联网边界防火墙支持一键开启防护,无需复杂的网络接入配置和镜像文件安装,使用集群化部署方式,支持性能平滑扩展。

VPC边界防火墙

VPC边界防火墙主要用于检测两个VPC间的通信流量,是一种分布式防火墙。VPC边界防火墙部署在两个VPC网络之间,原理图示:

VPC边界防火墙

VPC边界防火墙仅支持部署在高速通道联通的两个VPC网络之间,或同一个云企业网的两个VPC网络之间。VPC边界防火墙不会默认存在,需要您指定两个VPC网络进行创建。

安全组和主机防火墙

安全组是ECS提供的分布式虚拟主机防火墙,具备状态检测和数据包过滤功能,用于设置ECS实例间的网络访问控制。安全组是由同一个地域(Region)内具有相同安全防护需求并相互信任的实例组成。在创建实例的时候您需要指定安全组,每个实例至少属于一个安全组。

主机防火墙底层使用了安全组的功能,您既可以在访问控制页面的主机边界防火墙页签下配置策略,也可以在ECS管理控制台配置策略,两边配置自动保持同步。

主动外联

主动外联是指阿里云主机主动访问外部IP的连接分析,可以帮助您及时发现可疑主机。

失陷感知

失陷感知是一种监控网络传输,检查是否有可疑活动的系统,在检测到可疑事件时发出告警或者采取主动反应措施。云防火墙集成阿里云近十年检测防御能力,对经过云防火墙的流量进行实时分析、统计,智能发现失陷主机、阻断异常网络活动。

开放应用、开放端口、开放公网IP

开放应用指您暴露在互联网上的应用,如HTTP、SSH等。

开放端口指您暴露在互联网上的端口,如80、22等。

开放公网IP指您暴露在互联网上的资产的公网IP。

目前云防火墙支持识别以下几种资产的公网IP:

  • EIP(支持绑定到专有网络类型的ECS实例、专有网络类型的私网SLB实例、弹性网卡和NAT网关上)
  • NatPublicIp(ECS系统分配的公网IP)

应用组

应用组是云防火墙东西向业务可视中提供的相同或相似服务的应用集合,如所有部署了MySQL的ECS可以归属到同一个DB应用组。

应用是云防火墙东西向业务可视的最小单位,默认情况下一个应用等于一台ECS上所有开放端口的集合,您可以通过指定端口的克隆应用来创建新的应用。

业务区

业务区是云防火墙东西向业务可视中构成您某个业务的各个应用组的集合,如门户网站业务区包含Web应用组、DB应用组等。

高危应用组和高危业务区

高危应用组指开放了高危端口(如445端口)的应用集合。每一个高危端口会独立产生一个高危应用组。

高危业务区是高危应用组的集合。

高危业务区和高危应用组可以帮助您发现哪些ECS实例开放了不安全的高危端口以及具体哪些ECS访问了高危端口。

目前高危业务区由云防火墙自动创建和识别。

依赖区和被依赖区

依赖区和被依赖区是云防火墙东西向业务可视中提供的抽象概念,是指两个业务区的访问关系。如业务区A访问了业务区B,那么我们称业务区B是业务区A的依赖区,而业务区A是业务区B的被依赖区。

首次流量

首次流量指源IP到目的IP的访问流量在统计周期内第一次出现。您可以根据首次流量出现的时间、源IP和目的IP等信息,进一步排查首次流量出现的原因。通常情况下首次流量由新业务上线或者入侵造成。

地址簿

为了方便您引用IP地址或端口信息,实现IP地址或端口的灵活配置,云防火墙支持将多个IP地址或者多个端口指定成一个地址簿。在配置时,只需要引用该地址簿即可实现对多个IP地址或端口的批量配置。

云防火墙目前支持四类地址簿:

  • IP地址簿:您可以配置一组IP地址。
  • 端口地址簿:您可以配置一组端口。
  • 域名地址薄:您可以配置一组域名。
  • 云地址薄:您可以配置一组IP地址或域名。

地址簿还具有以下特点:

  • 云防火墙内置一些全局地址簿,全局地址簿不可以编辑也不可以删除。
  • 多个地址簿可以包含同一个IP地址或端口。
  • 地址簿内IP或端口变动,在访问控制策略中会自动生效。