目录
云防火墙简介
云防火墙(Cloud Firewall)是云端SaaS化的防火墙,可统一管理互联网到业务的访问控制策略(南北向)和业务与业务之间的微隔离策略(东西向)。内置的威胁入侵检测模块(IPS)支持全网流量可视和业务间访问关系可视,是云原生的安全基础设施。
云防火墙是互联网边界防火墙、VPC边界防火墙、主机边界防火墙的统称,提供互联网、虚拟网络、主机三种边界防护。
互联网边界防火墙作用于互联网边界,对所有公网IP统一管控;主机防火墙对应安全组,对ECS间通信进行管控。
VPC边界防火墙作用于VPC边界,对高速通道流量进行管控。
与各云安全组件能力对比:
与云产品架构位置
云防火墙相对安全组的独有功能:
- 支持应用级别的访问控制。例如:可以管控HTTP协议流量,其HTTP服务可以运行在任意端口。
- 支持域名级别的访问控制。例如:可以配置只允许所有ECS到*.test.com的请求。
- 支持地址簿,可以将一组IP地址、端口或者具有相同标签的ECS配置为一个地址簿,便于对多个地址进行统一管控。
- 提供入侵防御功能,支持对常见的系统漏洞和暴力破解进行防护。 访问控制策略支持观察模式。 提供完整的流量日志,并支持对流量进行实时分析。
应用场景
云防火墙不仅可以防护从互联网到业务的访问流量,同时还能控制业务到互联网的主动外联访问,并对业务和业务间的访问进行控制。
-
互联网边界访问控制(南北向)
对出、入互联网的访问流量进行管控,拦截来自互联网的攻击和威胁,例如黑客入侵、挖矿和恶意流量等。 -
内网分区访问控制(东西向)
对内网中ECS服务器之间的访问流量进行管控,对不同的业务进行安全隔离,避免因某个ECS存在安全风险从而对整个云上业务产生安全威胁。 -
VPC内部边界访问控制
对VPC间的访问流量进行管控,实现VPC的分区防御。 -
入侵检测与防御
对云资产主动外联的行为、互联网访问流量和内网ECS互访流量进行检测和分析,实时了解网络流量动态,以判断哪些云资产已经处于风险状态,并对这些异常行为进行实时阻断,防御潜在的风险。 -
流量可视化
全面了解资产的信息和访问关系,从而及时发现异常流量。 -
等保合规
存储云资产6个月以上的访问日志,满足等保合规要求。
等保合规能力
| *检查项分类* | *编号* | *等保合规检查项* | *提供对应能力* | *相关功能介绍* |
|---|---|---|---|---|
| *安全区域边界 > 边界防护* | 11 | 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 | 部署云防火墙实现南北向和东西向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 | 网络流量分析概述 |
| *安全区域边界 > 访问控制* | 13 | 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下受控接口拒绝除允许通信外的所有通信。 | 部署云防火墙实现统一管理互联网到业务的南北向访问策略和业务与业务之间的东西向微隔离策略,达到协议、端口、地域、应用级访问控制粒度。 | 互联网边界防火墙(内外双向流量)主机边界防火墙(ECS实例间)VPC边界防火墙 |
| *安全区域边界 > 访问控制* | 14 | 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化。 | 根据业务部署云防火墙实现策略命中计数功能,确保没有冗余的策略。云防火墙访问控制策略可配置优先级,根据业务需求优化访问控制列表。 | 设置和修改访问控制策略的优先级 |
| *安全区域边界 > 访问控制* | 15 | 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许或拒绝数据包进出。 | 部署云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 | 智能策略 |
| *安全区域边界 > 访问控制* | 16 | 应能根据会话状态信息为进出数据流提供明确的允许或拒绝访问的能力。 | 部署云防火墙实现状态级对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 | 入侵防御开关 |
| *安全区域边界 > 访问控制* | 17 | 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 | 部署云防火墙实现跨VPC数据流的应用协议、内容的访问控制。 | VPC边界防火墙 |
| *安全区域边界 > 入侵防范* | 18 | 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 | 部署云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 | 入侵防御开关 |
| *安全区域边界 > 入侵防范* | 19 | 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 | 部署云防火墙实现内对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 | 互联网边界防火墙(内外双向流量)主动外联活动失陷感知 |
| *安全区域边界 > 入侵防范* | 20 | 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。 | 部署云防火墙结合威胁情报和智能引擎等对云上进出网络的恶意流量进行实时检测与阻断,支持防御挖矿蠕虫等新型网络攻击,并通过积累大量恶意攻击样本,形成精准防御规则。云防火墙入侵检测功能支持发现挖矿蠕虫感染事件。 | 入侵防御开关漏洞攻击防护 |
| *安全区域边界 > 入侵防范* | 21 | 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。 | 部署云防火墙实现攻击行为的检测和记录,提供网络阻断功能,记录风险级别、事件名称、防御状态、源IP、目的IP、方向、判断来源、发生时间和动作。 | IPS拦截记录 |
| *安全区域边界 > 恶意代码和垃圾邮件防范* | 22 | 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。 | 部署云防火墙实现网络恶意代码攻击的检测和防护,并定期实时在线更新恶意代码检测规则。 | 漏洞攻击防护 |
| *安全区域边界 > 安全审计* | 24 | 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 | 部署云防火墙利用日志审计模块记录所有流量日志、事件日志和操作日志。 | 日志审计 |
| *安全区域边界 > 安全审计* | 25 | 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 | 部署云防火墙实现日志记录事件被扫描到的时间、威胁类型、进出方向、源IP和目的IP、应用类型、严重性等级以及动作状态等信息。 | 日志审计 |
| *安全区域边界 > 安全审计* | 26 | 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 | 部署云防火墙实现日志分析功能,依托日志服务产品,可存储6个月内的日志数据,并提供实时日志分析能力。 | 日志分析概述 |
| *安全区域边界 > 安全审计* | 27 | 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 | 部署云防火墙日志分析功能,依托日志服务产品,可存储6个月内的日志数据,并提供实时日志分析能力。 | 日志分析概述 |
试用阿里云CFW
记录CFW提供的一些主要功能
云防火墙控制台概览
从待处理事件、资产防护、安全防护、流量趋势、场景数据、近期更新等角度,展示云防火墙的整体防护能力、统计信息和安全状况
主动外联活动
实时展示主机的主动外联数据,及时发现可疑主机
互联网访问活动
展示资产入方向正常流量和异常流量的概览信息,包括入方向流量的开放应用、开放端口、开放公网IP地址和入方向流量访问的云产品信息
VPC访问活动
VPC访问活动页面中展示的信息包括VPC间流量访问TOP排行、VPC间会话TOP排行、流量访问的开放端口和资产信息等
入侵防御
实时展示云防火墙拦截流量的源区域、目的IP、阻断应用、阻断来源和阻断事件详情等信息
漏洞防御
展示可被网络侧攻击利用的漏洞(这类漏洞由云安全中心漏洞检测功能自动检测并同步到云防火墙),并提供针对此类漏洞的攻击防御能力
互联网边界防火墙(内外双向流量)
互联网边界防火墙支持对内对外(内网访问外部互联网)和外对内(外部互联网访问内部网络)流量进行访问控制,并提供策略导出功能。
主机边界防火墙(ECS实例间)
对ECS实例间的入流量和出流量进行访问控制,限制ECS实例间的未授权访问。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效
VPC边界防火墙
VPC边界防火墙可用于检测和控制两个VPC间的通信流量
日志审计
云防火墙日志审计默认保留7天,包括流量日志、事件日志和操作日志
重保模式
开启重保护模式,云防火墙将自动启用所有的安全防护规则和安全引擎,并通过智能化的规则提升告警检测引擎的敏感度,对任何可疑的入侵行为和潜在的威胁提供告警
关闭境外所有访问
拒绝所有来自境外的流量
参考:
https://help.aliyun.com/document_detail/90216.html
1018
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
