什么是云防火墙
腾讯云防火墙(Cloud Firewall,CFW)是一款基于公有云环境下的 SaaS 化防火墙,目前主要为用户提供互联网边界防护,并用于解决云上访问控制的统一管理与日志审计问题,具备传统防火墙功能的同时也支持云上多租户及弹性扩容,是用户业务上云的网络安全基础设施。
产品功能
云防火墙概览
资产防护概况:展示用户公网资产、内网资产、暴露端口及安全事件的数量,并为用户提供漏洞情报的参考。
防火墙状态监控:显示近7天内,互联网边界带宽峰值和 NAT 边界带宽峰值。
流量统计:展示24h - 6个月范围内,出站入站的流量大小及总流量大小。
安全策略配置:显示互联网边界、NAT 边界、VPC 边界的访问控制规则数量、剩余配额及各边界在入侵防御中,采用的安全策略。
日志存储统计:显示日志总内存、现有内存以及剩余可用容量。
云防火墙开关
互联网边界防火墙开关:系统自动识别云租户的公网 IP 及关联实例与绑定资产,通过云防火墙开关管理公网 IP 粒度的访问控制防护。目前云防火墙支持 BGP 公网 IP(三网 IP 不支持,下同)通过云防火墙开关中的公网 IP 列表(资产列表),用户可以快速查看每一个公网 IP 所关联的已有出站或入站规则,并通过访问控制模块进行统一管控。
VPC 间防火墙开关:系统自动识别云租户内网的 VPC 数量以及连通状态与方式,并通过 VPC 网络拓扑的可视化视图展示。首次使用 VPC 边界防火墙,需要开启统一的 VPC 边界防火墙开关,开关开启后,系统自动为用户配置所有互通 VPC 的两两关系的子防火墙,用户可以开启或关闭子防火墙,同时也能基于 VPC 的两两关系进行访问控制规则配置。
NAT 边界防火墙开关:NAT 边界防火墙是一种虚拟化的防火墙,原理类似于 NAT 网关,NAT 边界防火墙可以提供网络地址转换能力,以及访问控制及日志留存等安全审计功能。
开通并创建 NAT 边界防火墙实例后,系统自动识别选定地域内 VPC 中子网情况,用户仅需找到需要接入的子网,开启防火墙开关,系统便会自动修改子网路由,将该子网的互联网流量牵引至 NAT 防火墙,用户可以在NAT防火墙上配置访问控制列表,进行流量过滤与管控。
资产中心
资产中心可以查看和管理各资产的相关数据及信息,您可以通过查看TOP5的核心资产与TOP5的高危资产,以及您全部公网资产、内网资产和私有网络的详细信息,来更好地把控资产现状、管理资产并预知和防控安全事件。
告警中心
告警中心可以查看资产受到网络攻击时的告警事件,当在访问控制、入侵防御和安全基线模块,配置好云防火墙所需的全部安全策略后,可通过持续关注来自云防火墙的告警,进行网络边界防护的安全运维工作。
流量中心
流量中心是基于互联网的出向、入向流量和 VPC 间流量的访问情况,分成外部访问统计、主动外联分析、VPC 间活动的可视化信息界面。
访问控制
访问控制规则是一个安全策略的集合,通过五元组形式定义,采用列表形式排列,对于每一条经过互联网边界的数据流,云防火墙都会根据规则列表执行顺序匹配五元组信息。若出现匹配的数据流,则按照该命中规则的动作,对该数据流执行相应的操作,以此满足租户对于公网 IP 的访问控制防护需求,并通过日志记录的形式满足用户安全运维审计的需求。企业安全组满足 VPC 子网间、VPC 间、混合云专线间的防护场景,保持基于五元组的配置习惯,可以更容易的管控安全组配置。
零信任防护
零信任防护提供对暴露的 SSH、RDP、内部 OA 系统以及数据库公网 IP 等业务的零信任防护方案。支持微信扫码认证,通过将企业员工的微信账号添加到微信身份管理中,实现对业务资产的授权访问。
入侵防御
云防火墙根据防护模式,自动识别访问控制规则以外的未知风险,并对公网 IP 的南北向流量进行入侵防御规则检测,同时避免云服务器中的漏洞暴露在互联网中。
网络蜜罐
网络蜜罐服务是一种仿真的业务系统,实际不会承载任何真实业务,通过探针暴露在租户的网络中后,如被攻击者踩中,则会主动记录攻击者信息并追溯攻击手法,为真实业务的防御提供准确的攻击者情报与反制溯源能力,并在重保场景中,为真实业务争取足够的时间,达到防守成功的目的。
安全基线
安全基线指云防火墙通过观察一定时间范围内的流量访问情况,形成一个初步的 IP 地址或域名访问列表,用户可以根据安全评分、关联安全事件以及网络访问情况,通过添加或删除 IP 地址或域名,维护基线列表,从而形成最终的安全基线。
日志审计
云防火墙提供7天的规则命中日志记录功能,可以记录所有被执行防火墙动作的网络流量与对应生效规则,协助安全运维人员进行审计工作,当出现网络连接等故障时,可通过检索日志快速排障与修复。同时,也可以查看过去30天的操作历史,提升企业与网络安全管理员的工作效率,降低管理成本。
日志分析
可在日志分析中查看基于登录账号的云防火墙,在过去6个月所存储的全部流量日志详情,同时日志分析支持基于检索语句的日志检索与查询,并提供报表与统计分析服务。
地址模板
为用户提供更方便快捷的方式批量管理 IP 域名。用户可以在地址模板中创建 IP 或域名模板,加入多个 IP 或域名,并将建立好的模板匹配访问控制中的相关规则。