tencent cloud

PrevNext

文档反馈

请输入关键字

Recent Pages

文档
云防火墙
    文档
    Download PDF

    相关概念

    最后更新时间:2023-12-11 16:35:47
    下载PDF

      互联网边界

      互联网边界是指互联网与腾讯云内网的边界,互联网边界流量指云上资产与互联网之间通信的流量,也称为南北向流量。 南北向流量必须是公网 IP 之间的流量。根据方向,又可以分为“出站流量”与“入站流量”:
      出站流量:云上资产通过绑定的公网 IP 向互联网发起通信的流量。
      入站流量:互联网向云内资产的公网 IP 发起通信的流量。

      互联网边界防火墙

      互联网边界防火墙是检测南北向流量的防火墙,是一种集群式防火墙。互联网边界防火墙生效于您的弹性公网 IP 的关联资产与外部互联网之间,原理如下图所示:
      
      
      
      互联网边界防火墙支持访问控制与日志审计,并内置入侵防御模块,无需复杂的网络接入配置与镜像文件安装,支持即开即用,缺省集群化部署,支持性能平滑扩展。

      私有网络

      私有网络(Virtual Private Cloud,VPC)是一块您在腾讯云上自定义的逻辑隔离网络空间,与您在数据中心运行的传统网络相似,托管在腾讯云私有网络内的是您在腾讯云上的服务资源,包括云服务器、负载均衡、云数据库等。
      私有网络 VPC 为您提供:
      弹性公网 IP:用于互联网访问。
      对等连接:支持私有网络间互通,详情请参见 对等连接文档
      云联网:支持私有网络间互通,详情请参见 云联网文档
      通过对等连接、云联网可以实现云上 VPC 互通,VPC 之间的流量也被称为东西向流量,详情可参见 私有网络文档

      VPC 间防火墙

      VPC 间防火墙是检测 VPC 间东西向流量的防火墙,是一种分布式防火墙。VPC 间防火墙生效于您的两个 VPC 之间,原理如下图所示:
      
      
      
      VPC 间防火墙部署在对等连接及云联网联通的两个 VPC 间,支持访问控制、拓扑可视与日志审计等功能,无需复杂的路由配置与镜像文件安装,支持即开即用,用户独享式资源配置。

      访问控制

      访问控制是流量过滤规则的集合,生效于同一类流量的所有规则组成一张访问控制列表,每一条访问控制规则分为规则主体和描述两部分:
      规则主体:允许或不允许某个地址的端口访问另一个地址的端口的某种协议的通信。
      访问源:发起通信的地址,一般是 IP。
      访问目的:接收通信的地址,可以是 IP,也可以是域名。
      目的端口:访问目的地址的端口号。
      协议:通信双方所使用的网络协议。
      策略:若某个流量符合以上四个条件,则视为命中流量,防火墙会按照这条规则的策略执行以下动作。
      放行:允许访问,记录流量日志,但不记录规则命中。
      观察:允许命中的流量通过,记录流量日志与规则命中。
      阻断:不允许命中的流量通过,不记录流量日志,但记录规则命中。
      规则描述:记录本条访问控制规则的用途。
      注意:
      合理、规范的填写规则描述有助于提高规则的可读性,降低后期维护成本,提升效率。

      规则优先级

      执行顺序是规则在列表中的位置,执行顺序为1的规则优先级最高。对于每一个经过防火墙的数据流,防火墙会按照列表的从上到下顺序依次匹配规则:
      若数据流命中某一条规则,防火墙会执行该规则对应的策略,不再继续匹配。
      若数据流没有命中当前规则,则继续匹配下一条规则。
      若数据流没有命中任何一条规则,防火墙会放行该数据流。
      在一张访问控制列表中,执行顺序的取值区间为1 - n 的整数,1为最高优先级,n 为规则总数,也就是当前规则列表中的最低优先级,一般用于通配规则。
      执行顺序满足两个原则:连续原则、不可重复原则
      连续原则:执行顺序必须是连续正整数,若当前规则数为 n,则执行顺序最大值为 n。
      不可重复原则:同一个列表中的执行顺序不可重复。
      执行顺序的连续性与不可重复性由以下三点保证:
      添加规则时:执行顺序为 n+1。
      插入规则时:执行顺序为插入位置的执行顺序值,被插入的所有规则会自动向后移动一位,执行顺序值+1。
      编辑规则时:通过修改执行顺序可以移动规则,执行顺序可以被修改为目标位置的执行顺序值,最小为1,最大为 n。输入目标位置的执行顺序值,该规则会插入到目标位置,被插入的所有规则会自动向后移动一位,执行顺序值+1。

      入侵防御

      入侵防御是一种监控网络传输,检查是否有可疑活动的系统,在检测到可疑事件时发出告警或者采取主动反应措施。云防火墙集成腾讯云威胁情报、基础防御以及虚拟补丁等功能,对您的互联网边界流量进行实时监控、统计与分析,主动发现外部入侵与恶意外联等未知风险,并提供实时的防护与告警。

      日志

      规则命中日志:规则命中日志中记录规则命中情况,帮助运维人员进行安全审计工作,规则命中日志显示被放行、观察、阻断的数据流的五元组信息,支持通过按钮查看对应生效的规则。
      操作日志:云防火墙操作日志分为用户登录日志、开关操作日志和规则操作日志。
      用户登录日志:记录该用户全部账号的登录情况。
      开关操作日志:记录云防火墙开关情况。
      规则操作日志:记录用户对于访问控制规则的新增、删除、编辑操作。
      联系我们

      联系我们,为您的业务提供专属服务。

      联系我们
      技术支持

      如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

      提交工单
      7x24 电话支持
      Copyright © 2013-2024 Tencent Cloud. All Rights Reserved.
      隐私条款服务条款缓存条款