开启互联网边界流量防护

操作场景

云防火墙通过防护弹性公网IP（EIP）实现互联网边界流量防护，精细化管控云资产与互联网之间的出入流量，从而减少公网资产暴露、降低流量安全风险。

本章节将介绍互联网边界防火墙的相关概念以及如何开启互联网边界流量防护。

什么是互联网边界流量

互联网边界流量是云资产（包括IPv4和IPv6）与互联网之间的通信流量（即南北向流量），分为两个方向：

开启防护后，您的业务流量将经过云防火墙，默认情况下，所有流量都会被放行。为了实现更精细的流量控制，您可以根据业务需求，配置访问控制策略或调整IPS防护模式。配置后，云防火墙会根据您的具体配置，检测流量并实施拦截或放行操作，从而保障云资产与互联网之间的流量安全。

图1 互联网边界流量防护

互联网边界流量防护介绍视频

支持的防护对象

绑定了弹性公网IP（EIP）的资源，例如弹性云服务器（ECS）、NAT网关（NAT）、弹性负载均衡（ELB）等。

防护规格

互联网边界的防护规格分为防护公网IP数和互联网边界防护带宽。

注：^①表示基础版有新老两个版本，老版本（免费）已在2023年停止购买，新版本（计费）是2024年新发售的更新功能后的版本，本文重点介绍新基础版支持的功能特性，且仅“西南-贵阳一”区域支持购买基础版防火墙。

约束与限制

• 一个EIP只能在一个防火墙实例上开启防护。
• 对已开启防护的EIP进行退订或释放前，必须先在防火墙页面关闭EIP防护。关闭EIP防护的详细操作请参见关闭对EIP资源的防护。

对业务的影响

开启EIP防护前，请确认是否有阻断所有流量的防护规则或黑名单：

• 开启EIP防护前，如果有阻断所有流量的防护规则或黑名单，则会在开启时对该EIP生效，可能导致业务中断。此时，建议在开启防护前排查是否存在长连接且不支持会话重建的业务。如果存在，请先进行处理。

  编辑防护规则详细操作请参见管理防护规则。编辑黑名单详细操作请参见管理黑/白名单。

• 开启或关闭EIP防护前，如果不存在阻断所有流量的防护规则或黑名单，则不会造成业务中断，保证流量平滑切换。

开启互联网边界流量防护

1. 登录云防火墙控制台。
2. 单击管理控制台左上角的，选择区域。
3. （可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
4. 在左侧导航栏中，选择“资产管理 > 弹性公网IP管理”，进入弹性公网IP管理页面。

   EIP（包括IPv4和IPv6）信息将自动更新至列表中。

5. 开启对弹性公网IP的防护。

   一个EIP只能在一个防火墙上开启防护。

   • 单个EIP：在目标EIP所在行的“操作”列中，单击“开启防护”，并在弹出的界面确认信息无误后，单击“绑定并开启防护”。
   • 多个EIP：勾选需要开启防护的EIP，单击列表上方的“开启防护”，并在弹出的界面确认信息无误后，单击“绑定并开启防护”。

   当EIP操作行的“防护状态”列显示“防护中”时，则表示开启成功。

   EIP开启防护后，系统默认放行所有流量，即访问控制策略默认动作为“放行”。

后续操作

开启互联网边界流量防护后，您的业务流量将经过云防火墙，默认情况下，所有流量都会被放行。您可以根据需要查看流量趋势或为互联网边界防火墙配置访问控制策略、攻击防御策略等，以便更好地管控云资产与互联网之间的流量。

• 查看流量趋势及流量日志：
  • 查看经过云防火墙的流量趋势和统计结果，请参见流量分析。
  • 查看经过云防火墙的所有流量日志，请参见流量日志。
• 配置防护规则，进行精细化流量管控：

  开启防护后，流量默认放行，云防火墙将根据您设置的策略实施拦截：

  • 通过防护规则放行/拦截流量，详细操作请参见通过防护规则拦截/放行互联网边界流量。
  • 通过黑白名单放行/拦截流量，详细操作请参见通过黑/白名单拦截/放行互联网边界流量。
• 防御网络攻击：通过配置入侵防御来进行处理，详细操作请参见配置IPS基础防御。

相关操作

• 关闭防护：如果不再需要对EIP进行防护，可以关闭EIP防护，具体操作请参见关闭对EIP资源的防护。
  

  关闭EIP防护后，云防火墙将不再防护该EIP的流量，可能会导致该EIP遭受恶意攻击，请谨慎操作。

• 导出EIP列表信息：在列表上方，单击“导出”，根据数据范围选择选项。
• 多账号防护：如果需要防护其他账号下的EIP，请参见多账号管理。
• 一键关闭/恢复指定防火墙下的EIP防护：支持一键关闭/恢复对当前防火墙对EIP的防护，具体操作请参见一键逃生/一键恢复。