云防火墙提供互联网边界开关功能,在互联网边界开关页面,可自动探测到您所持有的公网 IP 以及关联的云上资产,并为您配置对应的防火墙开关。云防火墙开关支持一键开启防护,您无需进行任何的网络接入部署与路由策略配置,且无需安装任何镜像文件,云防火墙可以为您提供即开即用的产品体验。
流量模式说明
当前互联网边界防火墙支持串行和旁路两种部署模式,您可以自行选择不同的模式开启防护。
串行防火墙(Inline Firewall)和旁路防火墙(Bypass Firewall)是两种不同的防火墙部署方式,它们在网络中的位置和工作原理有所不同。
工作原理/部署类型 | 串行防火墙 | 旁路防火墙 |
部署路径 | 串行防火墙是直接部署在网络数据流的路径上,所有经过的数据包都需要经过防火墙的检查和处理。 | 旁路防火墙不是直接部署在网络数据流的路径上,而是通过镜像或端口复制等技术,获取网络流量的副本进行分析和检测。 |
处理数据 | 由于串行防火墙需要处理所有经过的数据包,因此对性能和处理能力有较高要求。 如果防火墙性能不足,可能会成为网络瓶颈,影响网络速度和稳定性。因此串行防火墙需要每个地域新建一个防火墙实例并分配对应带宽。 | 旁路防火墙只需要处理镜像流量,对性能和处理能力的要求相对较低。它可以在不影响网络性能的前提下,提供安全监控和告警功能。 |
安全防护 | 串行防火墙可以对数据包进行深度检查和处理,提供较高的安全保障。它可以阻止恶意数据包进入网络,保护内部资源免受攻击。 | 旁路防火墙的安全防护能力相对有限,仅能防护 TCP、HTTP/HTTPS和TLS/SSL 协议的流量,且腾讯云内部公网互访流量由于网络架构特性无法受旁路防火墙防护。旁路的架构可以通过抢答机制等技术,基于发送 TCP 的 RST 报文间接阻断攻击者与目标系统的连接。 |
支持资产类型
互联网边界防火墙支持如下资产类型:
串行防火墙准备工作
在使用串行防火墙前,请先进行以下准备工作:
为串行防火墙分配带宽
由于串行防火墙具有地域集群属性,且存在防护性能上限,故需要用户为需要使用串行防火墙的地域分配带宽。
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关 > 互联网边界开关。
2. 在防火墙开关页面,单击防火墙设置。
3. 为需要使用的串行防火墙地域分配带宽。建议根据业务峰值合理预估,带宽超量后可能会触发服务降级,云防火墙会自动将流量模式切换至旁路,具体可参考 互联网边界防火墙带宽超量处置。
说明:
通用带宽:当前版本为串行防火墙分配带宽将消耗通用带宽,通用带宽与 NAT 边界防火墙共享。
通用实例:当前版本每新增1个串行防火墙地域将消耗1个通用实例配额,通用实例配额与 NAT 边界防火墙共享。
串行防火墙地域:当前版本支持的地域以上述串行防火墙设置展示地域为准,更多地域正在逐渐灰度中,敬请期待。
确认资产符合防护范围
由于网络架构限制,当前版本串行防火墙仅支持防护最新网络架构的弹性公网 IP,具体以控制台显示为准,如有疑问可与弹性公网 IP 团队联系确认。暂不支持防护公网 CLB 类型,如需防护建议切换为 EIP + 内网 CLB 的形式可支持防护。
当前版本旁路防火墙支持的资产类型为:云服务 CVM、NAT 网关、VPN 网关,轻量级服务器 LH,负载均衡 CLB 等。
串行防火墙开关操作
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关 > 互联网边界开关。
2. 在互联网边界开关页面,找到需要防护的资产,请确认流量模式显示为串行。
3. 单击防火墙开关列的
,即可对该资产进行边界防护。4. 开启串行防火墙过程预计耗时 1 分钟,对网络无影响。
说明:
串行模式需要使用 私有连接 打通 VPC 到防火墙的网络。
同一个 VPC 内的 EIP 首次启用串行防火墙时,需要创建新的私有连接的 终端节点与引流内网 IP,您在串行防火墙规格(分配的带宽)内的私有连接无需额外付费,超量可能会产生一定费用,详情请参见 私有连接收费标准。后续相同 VPC 内串行防火墙开关无需再次创建私有连接。
旁路防火墙开关操作
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关 > 互联网边界开关。
2. 在互联网边界开关页面,找到需要防护的资产,请确认流量模式显示为旁路;单击防火墙开关列的
,即可对该资产进行边界防护。
说明:
当前版本支持的资产类型为:云服务 CVM、负载均衡 CLB、NAT 网关、VPN 网关,轻量级服务器 LH,目前支持中国大陆及中国香港地域资产。
开启开关:当开启开关时,该公网 IP 的所有流量将经过云防火墙,且访问控制、入侵防御、日志审计功能将对该公网 IP 生效。
关闭开关:当关闭开关时,该公网 IP 的所有流量将不会经过云防火墙。
切换流量模式
切换单个开关流量模式
1. 在互联网边界开关页面,当防火墙开关状态为关闭的情况下,选择想要切换的流量模式即可,对网络无影响。
2. 如果防火墙开关为开启状态,切换流量模式会触发串行防火墙开关的开启或关闭操作,详情请参见 串行防火墙开关操作。
批量切换防火墙开关流量模式
1. 在互联网边界开关页面,勾选需要进行切换的防火墙开关,单击切换模式。
2. 确认需要切换流量模式,单击确定。如果是串行模式,可选择是否需要自动选择子网与内网 IP 创建私有连接。
防火墙状态监控
用户可以实时查看并监控基于公网 IP 的带宽情况,从而及时作出扩容或关闭部分开关等调整。
1. 在状态监控面板右上角,单击
图标。
2. 在状态监控页面,可实时查看并监控基于公网 IP 的带宽情况,并进行扩容或关闭部分开关等操作。
说明:
峰值带宽指上行和下行的最大值,即如果购买100M带宽,那么云防火墙能够同时处理上行100M和下行100M。
新资产自动开启
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关 > 互联网边界开关。
2. 在防火墙开关页面,单击防火墙设置。
3. 单击新资产自动开启开关,可在防护公网 IP 配额允许的情况下,对于新增的公网 IP 资产,将自动开启互联网边界开关。您可以在下方选择是否选择默认开启串行流量模式和是否自动创建私有连接。
串行防火墙容灾配置
当串行防火墙带宽连续5分钟超过分配值后,将会触发bypass策略。我们会自动为您切换至旁路防火墙,当带宽恢复后会切换回串行模式。
自动恢复每日仅限3次,当您当日连续3次触发bypass后,您需要在带宽恢复后前往控制台手动切换至串行模式。
您可以通过自定义开关权重,超量后我们会按照您定义的开关权重等级依次 bypass 直至当前地域带宽降至规格内;相同权重会自动按照峰值带宽降序依次切换。初始权重默认为1,最大为100,最小为0,权重越大优先级越高。
操作步骤
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关 > 互联网边界开关。
2. 在防火墙开关页面,单击防火墙设置。
3. 在防火墙设置页面,编辑指定防火墙开关权重。
4. 单击编辑权重,可以选择防火墙开关,批量编辑开关权重,单击确定保存。
同步资产
后台定时轮询用户资产信息的间隔为5分钟,因此当用户资产规模在此间隔内发生变化,但尚未被后台同步时,可在列表上方,单击同步资产,及时调用后台接口重新读取并同步用户的资产信息与数据。
当新增的资产没有出现在防火墙开关列表时,您可以在列表上方,单击同步资产进行同步资产尝试。
查看规则、告警或日志
除了在资产列表开启防火墙开关,可以执行一些其它操作,主要包括查看资产关联的规则、告警和日志。
查看规则:在资产列表中,单击操作列的查看规则,将跳转到资产所关联的规则页面。
查看告警:在资产列表中,单击操作列的更多 > 查看告警,选择具体的事件类型,将跳转到告警中心相应的事件页面。
查看日志:在资产列表中,单击操作列的更多 > 查看日志,选择具体的日志类型,将跳转到相应的日志页面。
互联网边界防火墙带宽超量处置
由于集群防护资源有限,为了保障广大用户的使用体验和您的业务稳定性,我们将按照以下规则进行带宽超量场景的处置策略 ,在面对流量波动和高峰流量时,保障一定的伸缩空间和反应时间,具体策略如下:
1. 当串行防火墙公网流量持续超量达(5分钟)带宽规格100%时,我们会按照您设置的 串行防火墙容灾配置 自动为您将流量模式切换至旁路防火墙。
注意:
为了避免串行防火墙和旁路防火墙访问控制规则不一致导致业务出现异常,切换至旁路防火墙后对应 IP 的访问控制规则将不会生效,默认全部放通,其他功能正常生效。如果您希望访问控制规则正常生效,请 提交工单 联系我们。
2. 当旁路防火墙公网流量超过带宽规格的100%但小于带宽规格120%时,访问控制、日志、入侵防御功能均正常防护。
注意:
如果您的旁路防火墙未分配带宽,则入侵防御和访问控制功能不会失效,仅会保留流量日志。
3. 当公网流量持续超量达(5分钟)带宽规格120%时,访问控制、日志功能正常防护,入侵防御功能失效。
注意:
如果您的旁路防火墙未分配带宽,则入侵防御和访问控制功能不会失效,仅会保留流量日志。
4. 当公网流量持续超量达(5分钟)带宽规格150%,访问控制、日志、入侵防御功能均失效。
5. 当公网流量连续(5分钟)下降到带宽规格之下时, 访问控制、日志、入侵防御功能均恢复防护。
相关信息
如需对内网资产进行流量管控与安全防护,或基于 SNAT、DNAT 进行的网络流量转发,可参见 NAT 边界防火墙开关 进行操作。
如需自动探测 VPC 信息与互通关系,并在每一对互通的 VPC 间,建立云防火墙开关,可参见 VPC 间防火墙开关 进行操作。
如遇到互联网边界防火墙相关问题,可参见 防火墙相关 文档。