本文档旨在系统性地阐述互联网边界防火墙的两种核心接入模式——串行模式与旁路模式,通过对比分析其技术原理、适用场景及操作差异,协助您根据自身业务需求做出最佳选择。同时,文档提供了从旁路模式切换至串行模式的详细操作指引、切换后验证方法及应急回退方案,确保切换过程平滑、可控。
串行模式与旁路模式的区别
防火墙提供串行与旁路两种接入模式,以适用于不同安全纵深与业务连续性的平衡需求。
模式特性对比
特性 | 串行模式 | 旁路模式 |
部署原理 | 流量直接串联经过防火墙,进行实时深度检测。 | 通过流量镜像方式将流量复制给防火墙进行分析。 |
阻断方式 | 直接过滤和拦截恶意流量。 | 通过向源或目的发送 RST 报文进行异步、间接阻断。 |
防护能力 | 支持所有协议流量的深度检查与防护。 | 主要支持 TCP、HTTP/HTTPS 等协议。 |
业务影响 | 增加网络一跳,引入约2~5ms 的延迟。防火墙故障可能影响业务。 | 对业务透明,防火墙故障不影响业务流量转发。 |
支持资产 | 云服务器(CVM)、弹性公网 IP(EIP)等。 | CVM、轻量应用服务器、负载均衡(CLB)等。 |
带宽配置 | 需以地域维度分配独立带宽。 | 所有地域共用一个带宽池。 |
适用场景 | 金融交易系统、政务服务平台、电商核心支付链路等。 | 内容分发网络(CDN)、在线视频流、游戏服务器或需快速安全审计的环境。 |
高可用设计对比
串行模式:
多可用区(AZ)部署:采用跨可用区双活架构,防火墙集群实例分布式部署在多个可用区(AZ)。当任一可用区发生故障时,支持业务流量自动、无缝地切换至其他健康可用区,从而最大程度保障服务连续性与高可用性。
分布式处理架构:采用分布式集群架构,客户会话将被负载均衡到集群内的多台处理节点上。此设计不仅能有效应对流量洪峰,还能实现故障隔离:当单台机器发生故障时,仅影响其正在处理的少量会话,这些会话在重连后会被自动调度到其他健康节点上恢复。
旁路模式:
多可用区(AZ )部署:采用跨可用区双活架构,防火墙集群实例分布式部署在多个可用区(AZ )。当任一可用区发生故障时,支持业务流量自动、无缝地切换至其他健康可用区,从而最大程度保障服务连续性与高可用性。
无侵扰分析:通过镜像流量进行安全分析,并利用抢答发送 RST 包实施拦截,以降低对业务网络性能与架构的影响。
选型决策建议
您可以基于当前业务的核心需求、资源现状与发展阶段,选择适配您业务的模式。
旁路模式
稳定性优先:无法接受任何额外的网络延迟或潜在的单点影响。
资产类型受限:部分资产(如特定型号的 CLB)暂不支持串行模式。
以审计监控为主:核心需求是流量可视化和事后分析,而非实时阻断。
寻求快速部署:希望零配置、即时开启防护。
串行模式
面临复杂威胁:需要防御 DDoS、漏洞利用、Web 攻击等多维威胁。
有严格合规要求:需满足等级保护2.0(三级及以上)、PCI DSS 等标准。
使用多协议:业务依赖 UDP(如音视频)、ICMP 等非 TCP 协议。
追求主动防御:需要攻击发生时的毫秒级实时拦截能力。
接入模式切换指引
切换前准备工作
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关 > 互联网边界。
2. 在资产列表中,筛选出当前模式为旁路的资产,确认这些资产支持串行模式。
3. 在互联网边界页面,单击右上角的防火墙设置,进入宽带配置页面。
4. 在串行防火墙带宽配置中,单击规格调整,为需要开启串行模式的地域分配带宽。
说明:
注意:
为串行防火墙分配带宽将消耗南北向带宽。
每新增1个串行防火墙地域将消耗1个通用实例配额。
当前版本支持的地域以串行防火墙设置展示地域为准,更多地域正在逐渐灰度中,敬请期待。
切换操作实施流程
方式一:批量切换
适用于对多个资产进行统一模式切换:
1. 在资产列表中,勾选多个需要切换的目标资产。
2. 单击列表上方的切换模式。
3. 选择接入模式为串行模式,单击确定。
说明:
建议勾选自动选择子网与内网 IP 创建私有连接,以简化网络配置。
方式二:单资产切换
适用于对个别核心资产进行模式切换:
1. 在资产列表中,找到需要切换为串行的目标资产。
2. 在接入模式列,单击串行。
说明:
如果该资产的防火墙开关当前为开启状态,切换模式会触发防火墙实例重启(约1分钟),对网络无影响。
如果该资产的防火墙开关当前为关闭状态,则切换模式本身对网络无影响。
(可选)方式三:配置自动化策略
若希望未来新增的资产自动采用串行模式,可进行以下配置:
1. 在 互联网边界 页面,单击右上角的防火墙设置,进入功能配置页面 。
2. 在互联网边界开关设置 > 资产防护设置中,开启新资产自动开启,并将默认流量模式设置为串行防火墙优先。
切换后验证与调优
确认切换成功
模式确认:在 互联网边界 页面,返回资产列表,查看目标资产的接入模式列是否已更新为串行。
流量验证:通过以下两种方式,观察是否有串行模式的流量统计产生,以确认流量已成功经过串行防火墙。
选择带宽用量明细 > 串行防火墙带宽使用率;
单击查看监控,状态监控选择互联网边界防火墙。
配置业务保障权重
为确保在极端流量情况下核心业务优先,请配置超量处置权重。
1. 在 互联网边界 页面,单击右上角的防火墙设置,进入功能配置页面 。
2. 在互联网边界开关设置 > 防火墙超量处置配置中,单击编辑权重。
3. 为核心业务资产设置更高的权重,为次要业务设置较低权重。当总流量超过防火墙处理能力时,系统将按权重从低到高暂时对部分资产进行 Bypass,优先保障高权重业务的带宽。
应急保障与模式回退
云防火墙内置了完善的业务连续性保障机制。
自动保障机制
超量 Bypass:当流量超过规格时,系统根据权重自动执行 Bypass,保障业务不中断。
故障切换:基于多可用区(AZ)高可用部署。当单个 AZ 发生故障时,流量会自动切换至其他健康 AZ 的防火墙节点。
手动回退至旁路模式
如果您需要将资产从串行模式切换回旁路模式,可按以下步骤进行操作:
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关 > 互联网边界。
2. 在资产列表中,找到目标资产。
3. 单击旁路,或直接关闭该资产的防火墙开关,流量将立即绕过防火墙。
注意:
在防火墙开关开启状态下进行模式回退,同样会有约1分钟的重启过程,对网络无影响。
