互联网边界防火墙

互联网边界防火墙是指用于检测互联网和云上资产间通信流量的防火墙,是一种集中式管理的防火墙。互联网边界防火墙生效在互联网和用户主机之间,原理图示如下:

互联网边界防火墙内置威胁入侵防御模块,支持失陷主机检测、主动外联行为的阻断、业务访问关系可视等功能。互联边界防火墙是一款SaaS化防火墙,支持一键开启防护,无需复杂的网络接入配置和镜像文件安装,缺省集群化部署,支持性能的平滑扩展。

VPC边界防火墙

VPC边界防火墙是指用于检测两个VPC间通信流量的防火墙,是一种分布式防火墙。VPC边界防火墙生效在两个用户VPC之间,原理图示如下:

VPC边界防火墙仅支持部署在有高速通道联通的两个VPC间,或加入到同一个云企业网的两个VPC间。VPC边界防火墙不会默认存在,需要用户指定两个VPC进行创建。

安全组/主机防火墙

安全组是ECS提供的分布式虚拟主机防火墙,具备状态检测和数据包过滤功能,用于设置ECS实例间的网络访问控制。安全组是由同一个地域(Region)内具有相同安全保护需求并相互信任的实例组成。在创建实例的时候需要指定安全组,每个实例至少属于一个安全组。

云防火墙的主机防火墙底层使用了安全组的能力,用户既可以在云防火墙 > 主机防火墙处配置策略也可以在安全组控制台配置策略,两者配置自动保持同步。

主动外联

主动外联是指阿里云主机主动访问外部IP的连接分析,可以帮助您及时发现可疑主机。

入侵检测

入侵检测是一种监控网络传输,检查是否有可疑活动的系统,在检测到可疑事件时发出告警或者采取主动反应措施。云防火墙集成阿里云近十年检测防御能力积累,对经过云防火墙的流量进行实时分析、统计,智能发现失陷主机、阻断异常网络活动。

开放应用/开放端口/开放公网IP

开放应用指用户暴露在互联网上应用,如HTTP、SSH等。

开放端口指用户暴露在互联网上的端口,如80、22等。

开放公网IP指用户暴露在互联网上的资产的公网IP。

目前云防火墙支持识别以下几种资产的公网IP:

  • EIP(支持绑定到专有网络类型的ECS实例、专有网络类型的私网SLB实例、弹性网卡和NAT网关上)
  • NatPublicIp(ECS系统分配的公网IP)

应用组

应用组是东西向业务可视中提供的相同/相似服务的应用集合,如所有部署了MySQL的ECS可以归属到同一个DB应用组。

业务区

业务区是东西向业务可视中构成用户某个业务的各个应用组的集合,如门户网站业务区将包含Web应用组、DB应用组等。

高危应用组/高危业务区

高危应用组指开放了高危端口(如445端口)的应用的集合。每一个高危端口会独立产生一个高危应用组。

高危业务区是高危应用组的集合。

高危业务区/高危应用组可以帮助用户发现哪些ECS开放了不当的高危端口以及具体哪些ECS访问了高危端口。

目前高危业务区由云防火墙自动创建和识别。

依赖区/被依赖区

依赖区/被依赖区是东西向业务可视中提供的抽象概念,是指两个业务区的访问关系。如业务区A访问了业务区B,那么我们称业务区B是业务区A的依赖区,而业务区A是业务区B的被依赖区。

首次流量

首次流量指源IP到目的IP的访问流量在统计周期内第一次出现。您可以根据首次流量出现的时间、源目的IP等信息,进一步排查首次流量出现的原因。通常情况下首次流量由新业务上线或者入侵造成。

地址簿

为了方便的引用IP地址或端口信息,实现灵活配置,云防火墙支持将多个IP地址或者多个端口指定成一个地址簿。在配置时,只需要引用该地址簿即可实现对多个IP地址或端口的批量配置。

云防火墙目前支持三类地址簿:

  • IP地址簿:用户可以配置一组IP。
  • 端口地址簿:用户可以配置一组端口。
  • ECS标签地址簿:用户可以指定一组ECS标签,云防火墙自动将具有这些标签的ECS公网IP放到一个地址簿中。

地址簿还具有以下特点:

  • 云防火墙内置一些全局地址簿,全局地址簿用户不可以编辑也不可以删除。
  • 多个地址簿可以包含同一个IP地址或端口。
  • 地址簿内IP或端口变动,会自动生效于访问控制策略。