专栏首页云防火墙【版本升级】腾讯云防火墙 2.1.0 版本正式发布!
原创

【版本升级】腾讯云防火墙 2.1.0 版本正式发布!

大家好,我是腾讯云防火墙的产品经理jojen,又见面了,今天在这里和大家聊一聊NAT边界防火墙

一、什么是NAT技术

首先,作为网络工程或网络安全从业人员,大家可能都知道,随着互联网产业的蓬勃发展,当前全球网络设备的数量到2021年将达到全球人口数量的三倍以上,已经远远超出目前我们使用的IPv4地址的总数,如果所有设备同时上网,就会导致IP地址不够用的情况,那么互联网先驱者们如何解决这个问题的呢?—— 一是使用更大地址空间的IPv6地址(这个我们留到以后专门来讨论), 另一个就是通过网络地址转换技术实现地址复用,也就是我们今天要讨论的NAT技术

NAT技术通过将内网IP地址转换成公网IP地址与互联网的其他公网IP进行通信,这样一来,多个设备可以通过分享端口的形式,复用同一个公网IP上网,便可以解决IP地址不够用的问题,这种设计类似于全球电话系统的分机号机制

那么NAT这种技术在网络安全当中又有什么应用和缺点呢?

二、NAT边界防火墙

首先,通过NAT技术,可以很好地实现互联网暴露面的梳理与收敛,我们从腾讯云真实流量感知与分析当中发现,公网IP一旦暴露在互联网中,则会遭受黑客组织无时无刻的扫描攻击与探测,倘若重要业务与高危端口没有配置适当的防护策略,则会给黑客可乘之机,引发暴力破解、漏洞利用、远程控制甚至主机失陷. 根据腾讯云服务器失陷的全部工单中统计到,90%以上都是由于公网IP的高危端口直接在互联网开放,引发机器被暴力破解非法登录

因此,对于腾讯云公有云的用户来说,通过NAT网关设备来收敛业务在互联网的暴露是一种很好的网络规划,随后通过云防火墙的互联网边界防火墙,可以对NAT网关对外暴露的公网IP进行防护

但是,对于使用了NAT网关的用户来说,定位和排障又是一个很棘手的问题,我给大家讲一个真实案例,某用户通过互联网边界防火墙检测到恶意域名访问的安全事件,意味着大概率存在失陷的云服务器,但由于NAT技术隐藏了内网地址,使得用户无法通过告警的公网IP与端口定位到具体的内网IP,当NAT网关关联了较多云服务器资源时(该用户的NAT网关下挂载了200多台云服务器),需要用户手动一一排查,实际执行下来操作成本非常高

由于部署位置相同,传统网络中往往会将防火墙设备与NAT软件结合,经过几十年的发展,市面上成熟的防火墙设备往往都自带NAT的能力,为了解决上面提到的问题,我们在去年6月推出了NAT边界防火墙,通过云防火墙原生的地址转换能力,提供地址映射关系,一来可以允许用户直接通过内网IP管控流量与访问控制,进行云服务器颗粒度的主动外联管控,另一方面也可以帮助用户在告警中定位到具体的云服务器

三、2.0时代的NAT边界防火墙:接入模式

NAT边界防火墙发布半年多以来,其稳定性和安全能力受到用户的广泛认可,但是由于其NAT能力与NAT网关是重复的,需要用户切换网络且变更出口IP,意味着需要同步修改所有业务单元与分支机构的安全策略,因此对于部分客户而言NAT边界防火墙的使用成本是难以接受的

其实在去年6月发布NAT边界防火墙的时候,我们团队内部就深刻预感到可能产生的问题和挑战,早在半年前我们就开始设计并预研新的产品模式以应对上述问题,今天终于可以宣告大家,云防火墙2.1.0版本对NAT边界防火墙进行了重大改良与升级——全新支持接入模式 将云防火墙资源插入到NAT网关与云服务器之间,既能提供精细的安全防护能力,同时也无需用户更改网络配置:

  • 创建NAT边界防火墙实例,选择接入模式
  • 选择需要接入的NAT网关,系统会自动分配资源将NAT边界防火墙资源配置在云服务器与NAT网关之间
  • 在体验上保持了一贯的即开即用,开启开关后,自动下发路由策略与端口转发规则,实现网络流量透明切换
  • 支持访问控制、入侵防御、安全基线等安全策略
  • 支持资产可视化
  • 支持告警可视化
  • 支持流量可视化,留存6个月流量日志

感谢@花是主人 @海拔5200的༺熊大人༻ @雨中孤风 @jack_tan 等众多朋友在NAT边界防火墙的设计与功能中提出的宝贵建议

四、ONE MORE THING

这次版本升级也提供了NAT边界防火墙的扩容能力,用户可以根据自身业务的流量大小,动态调整NAT边界防火墙的带宽,从而提升使用效率,节约成本

  • 较小范围调整:无需任何网络抖动
  • 较大范围调整:仅1-2秒网络抖动,支持会话复制,业务基本无感知
  • 支持缩容释放,当业务高峰期过去,可以通过缩容降低带宽,释放资源空间

以上就是腾讯云防火墙2.1.0 版本的主要更新内容,NAT边界防火墙作为云上主动外联管控的一大利器将会持续的得到演进与优化,其中包含一些我们正在进行的工作,在未来一定会有更COOL的事情发生!

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【版本升级】腾讯云防火墙 2.0 版本正式发布!

    大家好,我是腾讯云防火墙的产品经理周荃 jojen,很开心在这个平台与大家交流,以后我们会在这里分享每个版本的功能介绍和背后的思考。今天正好是立春,借万物之始、...

    Alexazeng
  • 【版本升级】腾讯云防火墙2.3.0版本正式发布!

    大家好,我是腾讯云防火墙的产品经理jojen,过去几个月在实战中我们发现,就业务系统的脆弱性而言,漏洞、弱口令以及影子资产是最大的三个因素。作为安全产品团队,我...

    zoeding
  • 腾讯云防火墙全新升级,“三道墙”助力企业云安全防控更高效

    在云的时代,伴随更多企业客户转向公有云,基于云原生的防火墙技术逐步取代传统防火墙,成为守护企业云端安全的关键基础设施。近日,腾讯安全战略级新品——SaaS化云防...

    腾讯安全
  • 漏洞情报 | SaltStack多个高危漏洞风险通告

    2021年2月26日,SaltStack发布安全更新,修复了由腾讯安全云鼎实验室安全攻防团队发现的多个安全漏洞。通过利用这些漏洞,最严重可导致未授权远程代码执...

    云鼎实验室
  • 漏洞情报|YAPI远程代码执行0day漏洞风险预警

    近日,腾讯主机安全(云镜)捕获到YAPI远程代码执行0day漏洞在野利用,该攻击正在扩散。受YAPI远程代码执行0day漏洞影响,大量未部署任何安全防护系统的...

    云鼎实验室
  • 安全通告 | Jackson发布更新,披露多个反序列化安全漏洞

    近日,腾讯安全团队监控到 FasterXML Jackson 发布了新的cve漏洞(漏洞编号:CVE-2020-24616)同时腾讯安全团队监控到其官方团队发...

    腾讯云安全
  • 漏洞情报|Jackson-databind反序列化漏洞风险通告(CVE-2020-35490,CVE-2020-35491)

    2020年12月18日,腾讯云安全运营中心监测到,FasterXML Jackson-databind官方发布安全通告,披露Jackson-databind ...

    云鼎实验室
  • WebLogic接二连三被曝漏洞,到底是为啥?

    近日,国家信息安全漏洞共享平台(CNVD)公开了Weblogic反序列化远程代码执行漏洞(CNVD-C-2019-48814),延续了前几年不断爆出的Webl...

    腾讯云安全
  • 通报:Confluence远程代码执行漏洞(CVE-2021-26084)被黑产大规模利用

    8月26日,Atlassian官方发布公告,披露了一个Atlassian Confluence 远程代码执行漏洞(CVE-2021-26084),攻击者利用漏洞...

    腾讯安全
  • 腾讯大禹 DDoS防护方案

    通过分布在各地的大量终端,同时向目标发送恶意报包,以阻塞被打击目标的出口带宽,或耗尽被打击目标的CPU资源,最终使被打击目标服务瘫痪。举一个形象易懂的面馆例子:

    云加社区
  • WordPress File Manager 存在任意代码执行漏洞,腾讯T-Sec Web应用防火墙已支持防御

    腾讯安全团队检测到 WordPress 插件 File Manager 被曝存在一个严重漏洞,攻击者利用该漏洞可以在含有 File Manager 的 Wor...

    腾讯云安全
  • 安全通告 | Apache SkyWalking SQL注入漏洞安全风险公告(CVE-2020-13921)

    近日,腾讯蓝军(force.tencent.com)发现并向Apache SkyWalking官方团队提交SQL注入漏洞(漏洞编号:CVE-2020-1392...

    腾讯云安全
  • 安全通告 | Apache SkyWalking SQL注入漏洞安全风险公告(CVE-2020-13921)

    近日,腾讯蓝军(force.tencent.com)发现并向Apache SkyWalking官方团队提交SQL注入漏洞(漏洞编号:CVE-2020-13921...

    腾讯安全
  • 漏洞情报|2021年1月“微软补丁日” 多个产品高危漏洞风险通告

    近日,腾讯云安全运营中心监测到,微软发布了2021年2月的例行安全更新公告,涉及漏洞数87个,其中严重级别漏洞11个,重要级别44个。远程代码执行漏洞 21个...

    云鼎实验室
  • 腾讯云Web应用防火墙「网站管家」优惠-腾讯云优惠

    腾讯云 Web 应用防火墙(下文中也叫网站管家)( Web Application Firewall,WAF)帮助腾讯云内及云外用户应对 Web 攻击、入侵、漏...

    用户5899205
  • 腾讯安全发布《2020年公有云安全报告》,重点剖析8大主流安全风险

    产业互联网的升级换代,也同时带来网络安全的巨大变化。传统威胁是在客户端、企业私有云环境,随着业务上云,安全风险也随之上云。比如,以往传统认为linux系统没有恶...

    腾讯安全
  • 腾讯安全新一代SaaS化云防火墙正式发布!

    作为腾讯云原生的防火墙,支持云环境下的SaaS化一键部署,性能可弹性扩展,为企业用户提供互联网边界、VPC 边界的网络访问控制;同时基于流量嵌入威胁情报、入侵防...

    腾讯安全
  • FireEye红队工具遭盗取,腾讯安全已检测到数百个符合规则的利用样本

    12月8日,美国网络安全公司 FireEye 官方博客发布公告称“本公司遭到某政府黑客入侵,FireEye 用于检测客户安全防御能力的红队工具(Red Team...

    腾讯安全
  • 腾讯云直播+点播全线产品支持AV1,带来极致视频体验

    日前,腾讯视频云直播、点播、媒体处理全线产品均已支持AV1标准,据悉,腾讯云也是国内首家直播+点播同时支持AV1视频处理业务的公有云厂商。 据悉,AV1(Al...

    腾讯云音视频

扫码关注云+社区

领取腾讯云代金券