T-Sec云防火墙1440_01.jpgT-Sec云防火墙1440_02.jpgT-Sec云防火墙1440_03.jpgT-Sec云防火墙1440_04.jpgT-Sec云防火墙1440_05.jpgT-Sec云防火墙1440_06.jpgT-Sec云防火墙1440_07.jpgT-Sec云防火墙1440_08.jpg

什么是云防火墙

腾讯云防火墙(Tencent Cloud Firewall,CFW)是一款基于公有云环境下的 SaaS 化防火墙,目前主要为用户提供互联网边界防护,并用于解决云上访问控制的统一管理与日志审计问题,具备传统防火墙功能的同时也支持云上多租户及弹性扩容,是用户业务上云的网络安全基础设施。

产品功能

云防火墙概览

云防火墙为用户提供统一的网络访问控制中心点,通过 控制台概览页 租户可以直观清晰的查看到与防火墙相关内容,包含下列模块:

  • 安全评分:基于租户策略配置、安全事件、防护状态等维度进行的智能安全评分。

  • 告警事件总览:显示云防火墙检测到的未处理告警事件,按照风险等级进行展示。

  • 防护总览:展示受保护或未受保护的公网 IP 资产,与受保护或未受保护的 VPC。

  • 访问控制统计:显示互联网边界、VPC 边界的访问控制规则数量、剩余配额,以及策略命中的趋势图。

  • 流量统计:显示互联网边界、VPC 边界的流量访问趋势图。

云防火墙开关

  • 互联网边界防火墙开关:系统自动识别云租户的公网 IP 及关联实例与绑定资产,通过云防火墙开关管理公网 IP 粒度的访问控制防护。目前云防火墙支持 BGP 公网 IP(三网 IP 不支持)通过云防火墙开关中的公网 IP 列表(资产列表),用户可以快速查看每一个公网 IP 所关联的已有出站或入站规则,并通过访问控制模块进行统一管控。

  • VPC 边界防火墙开关:系统自动识别云租户内网的 VPC 数量以及连通状态与方式,并通过 VPC 网络拓扑的可视化视图展示。首次使用 VPC 边界防火墙,需要开启统一的 VPC 边界防火墙开关,开关开启后,系统自动为您配置所有互通 VPC 的两两关系的子防火墙,您可以开启或关闭子防火墙,同时也能基于 VPC 的两两关系进行访问控制规则配置。

访问控制

访问控制规则是一个安全策略的集合,通过五元组形式定义,采用列表形式排列,对于每一条经过互联网边界的数据流,云防火墙都会根据规则列表执行顺序匹配五元组信息。若出现匹配的数据流,则按照该命中规则的动作对该数据流执行相应的操作,以此满足租户对于公网 IP 的访问控制防护需求,并通过日志记录的形式满足用户安全运维审计的需求。

日志审计

云防火墙提供7天的规则命中日志记录功能,可以记录所有被执行防火墙动作的网络流量与对应生效规则,协助安全运维人员进行审计工作,当出现网络连接等故障时,可通过检索日志快速排障与修复。

用户操作日志

云防火墙提供30天操作日志记录功能,当用户有额外需要时,可通过付费购买增值服务。用户操作日志记录用户所有账号与子账号的云防火墙操作,包括用户登录、防火墙开启与关闭、对任意规则的新增、删除、编辑操作,并在日志说明和详情中记录具体操作事项与更新内容,提升企业与网络安全管理员的工作效率,降低管理成本。

日志统计

  • 规则命中日志:云防火墙提供近7天的规则命中日志记录,并提供弹性增值服务规则命中日志记录,所有被执行防火墙动作的网络流量与对应生效规则,帮助租户的安全运维人员进行审计工作,在出现故障时,可通过检索日志快速排障与修复。

  • 用户操作日志:云防火墙提供30天操作日志记录,当您有额外需要时,可通过付费购买增值服务。用户操作日志记录用户所有账号与子账号的防火墙操作,包括用户登录、防火墙开启与关闭,对任意规则的新增、删除、编辑操作,并在日志说明和详情中记录具体操作事项与更新内容,提升企业与租户网络安全管理员的工作效率,降低管理成本。

开启方便,无需部署

云防火墙采用 SDN 技术,提供公有云上的 SaaS 化防火墙,实现云上资产自动识别和一键开关,进行简单策略配置即可使用,提供无需部署成本的云防火墙功能。

稳定可靠,平滑扩展

具备主备容灾机制,保障性能稳定可靠。同时充分发挥 SaaS 化服务优势,支持带宽、资产及存储等弹性扩展,实现按需分配,平滑扩展。

统一管控,高效易用

  • 云防火墙提供完整的互联网之间、VPC 之间流量的统一访问控制和安全隔离能力,为用户提供统一的访问控制平面。


    • 互联网边界访问控制:基于对公网 IP 配置的访问控制规则,从而封堵或观察有威胁的访问目的流量,也可以阻断外部威胁访问源对云上资产发起的攻击行为。

    • VPC 边界访问控制:基于对租户内 VPC 之间配置访问控制规则,从而控制 VPC 之间的访问行为,实现 VPC 之间的安全隔离。

  • 云防火墙遵循传统防火墙的规则配置模式,结合安全运维人员的使用场景,降低用户学习成本,提高产品易用性。

等保合规,日志审计

  • 满足等保要求中的边界防护和访问控制等要求。

  • 规则命中日志:当访问控制规则生效并命中后,云防火墙会记录被命中流量的五元组信息,并反馈用户对应规则,便于用户安全运维,在出现故障时,用户可以根据日志留存快速排障并修复。

  • 用户操作日志:记录用户在云防火墙的操作情况及内容,包括所有账户的登录操作、云防火墙开关操作、针对规则的新增、删除、编辑操作,提升用户管理效率,降低管理成本。

出站访问控制

出站访问控制是由内到外的场景,当您需要封堵云上 CVM 对某个外部地址或域名的访问时,对所有需要管控的公网 IP 配置出站访问控制规则,以满足您的安全性需求。

入站访问控制

入站访问控制是由外到内的场景,当您需要禁止外部某个地址对云上 CVM 发起访问时,对所有需要管控的公网IP配置入站访问控制规则,以满足您的安全性需求。

命中日志审计

当您需要对云防火墙的访问控制规则的命中情况进行审计或出现故障需要对生效规则进行溯源时,可以通过云防火墙的规则命中日志审计功能,帮助您快速进行日志审计与故障修复,提升您的安全运维效率并降低运维成本。

操作日志审计

当您需要对云防火墙的操作进行管理时,可以通过使用云防火墙的用户操作日志功能,快速定位操作时间、操作内容与操作账号,以满足您的管理需求。

行业合规性要求

当您准备将业务上云时,可以通过开通云防火墙,快速实现云上业务的访问控制和入侵检测,帮助您满足行业的合规性要求和等保要求。

互联网边界

互联网边界是指互联网与腾讯云内网的边界,互联网边界流量指云上资产与互联网之间通信的流量,也称为南北向流量。
南北向流量必须是公网 IP 之间的流量。根据方向,又可以分为“出站流量”与“入站流量”:

  • 出站流量:云上资产通过绑定的公网 IP 向互联网发起通信的流量。

  • 入站流量:互联网向云内资产的公网 IP 发起通信的流量。

互联网边界防火墙

互联网边界防火墙是检测南北向流量的防火墙,是一种集群式防火墙。互联网边界防火墙生效于您的弹性公网 IP 的关联资产与外部互联网之间,原理如下图所示:

www.ksyuwei.cn

互联网边界防火墙支持访问控制与日志审计,并内置入侵防御模块,无需复杂的网络接入配置与镜像文件安装,支持即开即用,缺省集群化部署,支持性能平滑扩展。

私有网络

私有网络(Virtual Private Cloud,VPC)是一块您在腾讯云上自定义的逻辑隔离网络空间,与您在数据中心运行的传统网络相似,托管在腾讯云私有网络内的是您在腾讯云上的服务资源,包括云服务器、负载均衡、云数据库等。

私有网络 VPC 为您提供:

  • 弹性公网 IP:用于互联网访问。

  • 对等连接:支持私有网络间互通,详情请参见 对等连接文档

  • 云联网:支持私有网络间互通,详情请参见 云联网文档

通过对等连接、云联网可以实现云上 VPC 互通,VPC 之间的流量也被称为东西向流量,详情可参见 私有网络文档

VPC 间防火墙

VPC 间防火墙是检测 VPC 间东西向流量的防火墙,是一种分布式防火墙。VPC 间防火墙生效于您的两个 VPC 之间,原理如下图所示:

www.ksyuwei.cn

VPC 间防火墙部署在对等连接及云联网联通的两个 VPC 间,支持访问控制、拓扑可视与日志审计等功能,无需复杂的路由配置与镜像文件安装,支持即开即用,用户独享式资源配置。

访问控制

访问控制是流量过滤规则的集合,生效于同一类流量的所有规则组成一张访问控制列表,每一条访问控制规则分为规则主体和描述两部分:

  • 规则主体:允许或不允许某个地址的端口访问另一个地址的端口的某种协议的通信。


    • 放行:允许访问,记录流量日志,但不记录规则命中。

    • 观察:允许命中的流量通过,记录流量日志与规则命中。

    • 阻断:不允许命中的流量通过,不记录流量日志,但记录规则命中。

    • 访问源:发起通信的地址,一般是 IP。

    • 访问目的:接收通信的地址,可以是 IP,也可以是域名。

    • 目的端口:访问目的地址的端口号。

    • 协议:通信双方所使用的网络协议。

    • 策略:若某个流量符合以上四个条件,则视为命中流量,防火墙会按照这条规则的策略执行以下动作。


  • 规则描述:记录本条访问控制规则的用途。

注意:

合理、规范的填写规则描述有助于提高规则的可读性,降低后期维护成本,提升效率。

规则优先级

执行顺序是规则在列表中的位置,执行顺序为1的规则优先级最高。对于每一个经过防火墙的数据流,防火墙会按照列表的从上到下顺序依次匹配规则:

  • 若数据流命中某一条规则,防火墙会执行该规则对应的策略,不再继续匹配。

  • 若数据流没有命中当前规则,则继续匹配下一条规则。

  • 若数据流没有命中任何一条规则,防火墙会放行该数据流。

  • 在一张访问控制列表中,执行顺序的取值区间为1 - n 的整数,1为最高优先级,n 为规则总数,也就是当前规则列表中的最低优先级,一般用于通配规则。

  • 执行顺序满足两个原则:连续原则、不可重复原则


    • 添加规则时:执行顺序为 n+1。

    • 插入规则时:执行顺序为插入位置的执行顺序值,被插入的所有规则会自动向后移动一位,执行顺序值+1。

    • 编辑规则时:通过修改执行顺序可以移动规则,执行顺序可以被修改为目标位置的执行顺序值,最小为1,最大为 n。输入目标位置的执行顺序值,该规则会插入到目标位置,被插入的所有规则会自动向后移动一位,执行顺序值+1。

    • 连续原则:执行顺序必须是连续正整数,若当前规则数为 n,则执行顺序最大值为 n。

    • 不可重复原则:同一个列表中的执行顺序不可重复。

    • 执行顺序的连续性与不可重复性由以下三点保证:


入侵防御

入侵防御是一种监控网络传输,检查是否有可疑活动的系统,在检测到可疑事件时发出告警或者采取主动反应措施。云防火墙集成腾讯云威胁情报、基础防御以及虚拟补丁等功能,对您的互联网边界流量进行实时监控、统计与分析,主动发现外部入侵与恶意外联等未知风险,并提供实时的防护与告警。

日志

  • 规则命中日志:规则命中日志中记录规则命中情况,帮助运维人员进行安全审计工作,规则命中日志显示被放行、观察、阻断的数据流的五元组信息,支持通过按钮查看对应生效的规则。

  • 操作日志:云防火墙操作日志分为用户登录日志、开关操作日志和规则操作日志。


    • 用户登录日志:记录该用户全部账号的登录情况。

    • 开关操作日志:记录云防火墙开关情况。

    • 规则操作日志:记录用户对于访问控制规则的新增、删除、编辑操作。



  • 名称: T-Sec云防火墙
  • 关键词: T-Sec云防火墙,腾讯云T-Sec云防火墙,SaaS化防火墙,网络安全