雲防火牆文檔學習
文檔原文:阿裡雲雲防火牆(Cloud Firewall)是業界首款公共雲環境下的SaaS化防火牆,可統一管理網際網路到業務的通路控制政策(南北向)和業務與業務之間的微隔離政策(東西向)。内置的威脅入侵檢測子產品(IPS)支援全網流量可視和業務間通路關系可視,是使用者業務上雲的第一個網絡安全基礎設施。
重點:是以雲防火牆是一款SaaS服務,并且阿裡雲的雲防火牆是業界首款SaaS化的防火牆,對防護業務的保護提供包括兩塊,網際網路到業務的為南北向(或者也可以稱為縱向)政策,而業務與業務之間的為東西向(或者也可以稱為橫向)政策。雲防火牆的内部內建了威脅入侵監測子產品。
文檔原文:雲防火牆主要由以下兩個控制子產品組成:南北向流量控制子產品:主要用于實作網際網路到主機間的通路控制,支援4-7層通路控制。東西向流量控制子產品:主要是利用安全組對主機之間的互動流量進行控制,實作4層通路控制。
重點:雲防火牆的兩個南北向和東西向子產品有所不同,南北向的通路控制支援4-7層的通路控制,而東西向的為4層通路控制,東西向的雲防火牆主要利用的是安全組來進行控制。
産品評測
概覽界面
概覽界面展示的是雲防火牆的整體情況,可視化界面可以看到左邊清單裡的所有子產品的實時情況,并且已經內建了威脅入侵檢測的子產品。防火牆内所包含的服務能夠在已開啟安全能力子產品可視化視窗清晰看到。
防火牆開關
防火牆的開關決定的是是否使用雲防火牆以及雲防火牆對資産的防護情況。從可視化界面中可以看到,開啟了雲防火牆功能後,雲防火牆已經對實驗所用的1台ECS雲伺服器進行防護,從示意圖中可以看到防護的原理示意圖,即雲防火牆隔開了網際網路與ECS伺服器,是以這個圖展示的南北向的防護,即ECS與網際網路之間的通路控制。
防火牆的工作情況在原理示意圖下展示,主要包括三個方面,公網IP的防護情況,所防護的ECS的地域情況和資産的保護情況。本次實驗所用的ECS為張北區域,是以從防護情況來看,雲防火牆對于1台ECS的公網IP進行了防護,所防護的地域為華北3,全部1台ECS伺服器都在防護中。
網絡流量分析
網絡流量分析是雲防火牆控制台界面的核心,從流量的方向來看,功能子產品将方向進行了區分,分為主動外聯和網際網路通路活動,確定了入方向的情況和出方向的情況能夠分開展示。防護控制的内容包括域名、IP、端口,防護的主機的公網IP和私網IP的流量情況都能被記錄和顯示。
網際網路流量方面,提供流量趨勢圖,反映的是南北向的流量變化情況,能夠表示請求流量和響應流量,以顔色來進行區分。
以上顯示的是對于威脅、漏洞和入侵檢測的情況,如果說之前顯示的是流量的情況,那麼這兩部分反映的就是雲防火牆面對各類威脅的防護和處理情況概覽。
安全政策
安全政策方面,可以從防護原理圖中看到,分為南北和東西兩個方向,南北為ECS至網際網路,東西為ECS叢集之間即業務與業務之間的通路控制。使用者可以自行新增政策或是使用阿裡雲提供的AI智能政策進行部署。
入侵防禦方面,展現的是阿裡雲對于雲防火牆提供的可供選擇的服務,這些服務也是雲防火牆SaaS化後的最大優勢,相比傳統防火牆能夠做到滾動更新,自由選擇,阿裡雲提供的最新服務情況在防火牆控制台界面就能夠被顯示。
日志
日志服務方面提供日志審計和日志分析,日志審計即可以顯示過去7日的日志情況,而日志分析需要另行開通,通過SQL語言等對于過去6個月的通路日志進行分析。
工具
工具方面,雲防火牆提供抓包工具和告警設定功能。
總結
通過對雲防火牆的評測,在邊界防護範圍方面和傳統防火牆一緻,具有南北向和東西向通路控制。但是從雲服務的角度,SaaS化的雲防火牆在東西向即虛拟機之間的通路控制上相比傳統防火牆部署更為靈活,并且因為基于安全組的原因,在虛拟機的防護上具有天然的優勢,可以說是為了更适應雲服務而誕生的防火牆。SaaS化的另一個巨大優勢是滾動更新的周期可以縮短,甚至做到實時滾動更新,更新速度因為內建在雲服務中是以相比傳統防火牆具有天然優勢,面對多變的網絡環境,無論從響應速度、更新速度還是運維人員的工作效率提升都具有巨大價值。