云防火墙支持出入互联网流量识别、统一策略管控等核心功能。云防火墙不仅可以防护从互联网到业务的访问流量,同时还能控制业务到互联网的主动外联访问,并对业务和业务间的访问进行控制。本文介绍如何使用云防火墙。
云防火墙访问控制能够主要包括两大类:互联网边界防火墙、主机边界防火墙。
| 防火墙类型 | 说明 | 操作 |
|---|---|---|
| 互联网边界防火墙 | 对互联网和公网IP资产间的通信流量统一管控。 | 开启互联网边界防火墙。具体操作,请参见互联网边界防火墙。 |
| 主机边界防火墙 | 对ECS实例间的入流量和出流量进行访问控制,限制ECS实例间的未授权访问。 | 配置主机边界防火墙的访问控制策略。具体操作,请参见主机边界防火墙(ECS实例间)。 |
首先需要对资产进行全面的流量分析,通过流量分析您可以看到公网资产暴露面以及资产主动外连情况,再根据自身业务情况进行配置访问控制策略。
网络资产开启云防火墙开关后,主动外联页面向您实时展示主机的主动外联数据,帮助您及时发现可疑主机。具体操作,请参见主动外联分析。
云防火墙的资产暴露分析页面为您展示资产入方向流量的概览信息,帮助您发现暴露在互联网的风险端口。具体操作,请参见资产暴露分析。
云防火墙支持互联网到内网的流量、内网到互联网的流量以及内网之间互访的流量进行精准的访问控制,从而降低资产被入侵风险。
互联网边界防火墙支持对公网IP资产的出、入流量进行访问控制,/配置互联网边界防火墙访问控制策略。
对内网访问互联网的流量进行管控:
配置:在互联网边界防火墙页面,创建内对外策略。具体操作,请参见互联网边界防火墙。
建议:除开放有必要的主动外联访问以外,建议您将其他内对外流量全部设置为拒绝。
对互联网访问内网的流量进行管控
主机边界防火墙可以对ECS实例间的入流量和出流量进行访问控制,限制ECS实例间的未授权访问。具体步骤,请参见主机边界防火墙(ECS实例间)。