You need to enable JavaScript to run this app.
导航
云防火墙
  • 文档首页
    • /云防火墙/快速入门
快速入门
最近更新时间:2025.03.04 21:51:16首次发布时间:2022.12.06 17:01:56
我的收藏

云防火墙提供互联网边界防火墙、VPC 边界防火墙和 NAT 边界防火墙三种类型的防护。本文以互联网边界防火墙为例,介绍如何快速配置云防火墙。

前提条件

使用流程

Image

案例说明

某企业业务安全防护需求说明:

  • 对外提供 Web 服务的公网 IP 为14.100.100.175,需要只对外暴露 443 端口,其他端口全部关闭,通过减少资产暴露面,降低入侵风险。
  • 开发业务系统14.100.100.80需要对外访问某数据源,域名为example.com,基于资产安全考虑,仅允许该资产访问example.com,拒绝其他所有主动外联。

步骤 1:开启云防火墙

  1. 登录云防火墙控制台,在左侧导航栏,单击防火墙开关

  2. 防火墙开关页面,点击互联网边界防火墙

  3. 手动打开公网IP资产14.100.100.17514.100.100.80的防火墙防护开关。
    Image

  4. (可选)如需了解其他防火墙应用场景,请参考下文。

    防火墙开关类型

    应用场景

    互联网边界防火墙

    支持将公网 EIP 资产的入方向和出方向流量引流至防火墙进行访问控制,减少公网资产暴露面降低入侵风险,有效拦截内部网络到公网的未授权访问。
    开启互联网边界防火墙,更多详情,请参见互联网边界防火墙

    VPC 边界防火墙

    支持将专有网络 VPC 和 VPC 之间、VPC 和本地数据中心(VPN 或专线)、VPC 和第三方云(VPN 或专线网关)之间流量引流至防火墙进行访问控制,做好业务隔离,有效拦截内部网络之间的未授权访问。
    开启 VPC 边界防火墙,更多详情,请参见VPC边界防火墙概述

    NAT 边界防火墙

    支持对 NAT 网关私网 IP 访问公网的流量引流至防火墙进行访问控制,有效拦截内部网络到公网的未授权访问。
    开启 NAT 边界防火墙,更多详情,请参见NAT边界防火墙

步骤 2:配置访问控制策略

当您的公网 IP 资产接入互联网边界防火墙,业务流量会接入到云防火墙进行防护。根据业务防护需求,配置相对应的访问控制策略。

  1. 登录云防火墙控制台,在左侧导航栏,单击防火墙开关

  2. 在左侧导航栏,选择访问控制 > 互联网边界

  3. 入站规则/入站规则页签,可分别添加入站规则/出站规则。

    • 入站策略配置:云防火墙在没有配置策略时默认放行所有流量,因此该场景下需要配置 2 条访问策略。
      • 一条为低优先级阻断策略,阻断所有互联网 IP 对公网 IP 业务资产的请求访问流量。
      • 一条为高级优先放行策略,放行所有互联网 IP 访对14.100.100.175 业务资产 443 端口的请求访问流量。

    规则优先级

    访问源类型

    访问源

    访问目的类型

    访问目的

    协议类型

    目的端口

    动作

    生效时间

    描述

    策略开关

    1

    IP

    0.0.0.0/0

    IP

    14.100.100.175

    TCP

    443

    放行

    始终生效

    允许访问Web 443端口

    开启

    2

    IP

    0.0.0.0/0

    IP

    0.0.0.0/0

    ANY

    0/65535

    阻断

    始终生效

    全阻断兜底策略

    开启

    • 出站策略配置:云防火墙在没有配置策略时默认放行所有流量,因此该场景下需要配置 2 条访问策略。
      • 一条为低优先级阻断策略,阻断所有公网 IP 业务资产对互联网 IP 的请求访问流量。
      • 一条为高级优先放行策略,放行 14.100.100.80 公网 IP 资产对互联网 example.com 域名的请求访问流量。

    规则优先级

    访问源类型

    访问源

    访问目的类型

    访问目的

    协议类型

    目的端口

    动作

    生效时间

    描述

    策略开关

    1

    IP

    14.100.100.80

    域名

    example.com

    ANY

    0/65535

    放行

    始终生效

    允许访问example.com域名

    开启

    2

    IP

    0.0.0.0/0

    IP

    0.0.0.0/0

    ANY

    0/65535

    阻断

    始终生效

    全阻断兜底策略

    开启

  4. (可选)如需了解其他防火墙访问控制策略配置,请参考下文。

防火墙类型

最佳实践

互联网边界防火墙

VPC 边界防火墙

NAT 边界防火墙

步骤3:日志管理和流量分析

通过流量日志管理和流量分析您可以排查分析公网资产暴露面、资产违规外连、内部网络之间的未授权访问等场景,再根据自身业务情况进行访问控制策略调整。本文以互联网边界防火墙为例,介绍资产暴露面和主动外联治理。

日志管理

支持访问控制日志、流量会话日志审计,并基于火山引擎日志服务提供检索分析、监控告警、数据可视化等功能。通过原始日志数据,可排查网络中是否存在异常访问,以及验证策略有效性。
配置策略完成后,除了通过 ping/curl 命令验证策略有效性,也可以到日志管理中,查看访问控制日志和流量日志,云防火墙是否有对应的日志审计。

  1. 登录云防火墙控制台,在左侧导航栏,单击日志管理
  2. 在基础模式页面可以看到访问控制日志以及流量会话日志,通过日志信息看到相应的策略生效数据。
  3. 在高级模式页面下通过检索分析,可以看到可视化图表。如您可以搜索主动外联的流量大小排序,判断是否存在不符合预期的对外请求访问。若存在异常访问,则需要到访问控制策略中配置黑名单。

Image

资产暴露面

云防火墙的资产暴露分析页面为您展示资产入方向流量的概览信息,帮助您发现暴露在互联网的风险端口,对不必要的暴露端口进行收敛。
云防火墙根据流量会话数据,发现外对内访问成功的数据,访问的资产端口则暴露在互联网上。若暴露面分析页面中含有非预期 IP、端口信息,则需要到访问控制策略中配置黑名单。

Image

步骤4:告警通知

您可以通过设置告警通知,当云防火墙流量带宽、日志存储、访问控制策略数量等资源用量不足时,发送告警通知,以便于您了解资产状态,防护资产安全。

  1. 登录火山引擎控制台,在消息中心-基本接受配置-安全消息-产品告警通知中配置站内信、邮件、短信通知。
  2. 登录云防火墙控制台,在左侧导航栏,单击系统管理-告警通知
  3. 根据业务需求调整告警通知开关和通知阈值。