阿里云waf的地域防护在哪

下面我们来介绍一下网络及防护的另一个产品，云防火墙。首先我们来看一下云防火墙的概念及组成， 阿里云的云防火墙，克捞的菲尔是阿里云的云顿团队，结合了云的部署、便捷、弹性扩展等方面的技术优势，从而为云上的客户量身定制的融合了下防控制、业务隔离、流量识别等等功能的网络安全产品。 因防火墙和统一管理互联网到业务的访问控制策略和业务与业务之间的微隔离策略，并且呢，内置了威胁入侵检测模块，也就是 ips， 能够支持全网流量的可视化 和业务间访问关系的可视。云防火墙主要有两个控制模块组成， 分别是东西向的流量控制模块，主要是通过安全组对主机和主机之间的交互流量来进行控制，实现了四层的访问控制。另一个模块是南北向的流量控制模块，主要用于实现互联网到主机之间的房控制，支持四到七层的房控制。 云防火墙是互联网边界防火墙、 vpc 边界防火墙、主机边界防火墙的统称，为用户提供互联网、虚拟网络和主机三种边界的防护。 首先我们来看互联网边界防火墙，互联网边界防火墙是用于检测互联网和云上资产兼通信流量的防火墙，是一种集中式管理的防火墙。互联网边界防火墙生效在互联网和用户主机之间对所有的官网 ip 进行从 一的管控。然后我们再来看一下 vpc 编辑防火墙， vbc 边界防火墙我们很容易理解，他是用于检测两个 vpc 之间通信流量的防火墙，这是一种分布式的防火墙， vbc 边界防火墙生效在两个用户 vpc 之间，作用于 vpc 边界，对高速通道的流量来进行管控。 最后我们再来介绍一下主机防火墙。 首先我们来看一下安全组的概念， 安全组是 ecs 提供的分布式虚拟主机防火墙。安全组包括了像状态检测和数据包过滤的功能，主要用于设置 ecs 实力之间的网络访问控制。云防火墙的主机防火墙底层使用了 安全组的能力，对于用户来说，既可以在云防火墙主机防火墙处来进行配置策略，也可以在安全组的控制台进行配置策略，两者之间的配置能够自动保持同步。 互联网边界防火墙、 abc 边界防火墙和主机防火墙三种防火墙配合使用，可以使得用户能够精细化的管控数据访问行为。 比如说如果用户只有官网防护的需求，就只需要在互联网边界防火墙处配置南北向的策略，如果用户同时有主机防护的需求，就可以在主机防火墙处去配置东西向的策略。 同时三种防火墙的配合使用也组成了从互联网边界、虚拟网络边界和主机边界三层纵深的防御体系。在前面的内容中，我们 介绍过阿里云的云防火墙，可以统一管理南北向和东西向的流量，提供流量监控、精准访问控制和实时防御等功能。下面我们来对阿里云云防火墙的功能做一个具体的介绍，主要分为四个方面，分别是流量监控、访问控制、实时防御和行为回数。 首先我们来介绍流量监控，云防火墙可对主动的外联行为进行监控，并且支持对互联网访问流量和内网 ecs 之间的互网流量进行流量分析。同时呢还支持业务可视， 使得用户可以全面了解资产的信息和访问关系，从而及时发现异常流量。第二个功能访问控制，云防火墙支持互联网应用之间的访问控制 和内网 ecs 之间的微隔离，并且能够同时控制入流量和出流量的访问。支持基于域名的访问控制，能够严格控制主动外联的出流量，支持主动外联分析，帮助用户主动发现主机的异常行为。 第三个功能是实时防御，云防火墙支持入侵防御功能，并能够同步进行智能的阻断，支持被阻断访问分析，识别被云防火墙和 ips 阻断的网络流量， 能够同步阿里云全网的恶意 ip， 实现威胁情报的联动，比如像恶意访问员、扫描员、中控服务等等，能够对威胁和入侵做到提前防御。防御模块内置了云平台长期攻防实战中积累的入侵防御规则， 威胁识别率高、误报率小，并且支持虚拟补丁，用户不需要在业务系统安装补丁就可以实时修复。对于热门的漏洞，高碑的零倍漏洞和 nd 漏洞能够进行精准防护。 最后一个功能是行为回数，能够提供事件日志、流量日志和系统操作日志。 事件日志可以实时查看被入侵防御模块检测和拦截的威胁或入侵事件。流量日志可以查看经过云防火墙的所有流量数据，用户可以通过查看流量日志来进行流量和防御员的分析，并且查看配置的访问策略是否生效。 系统操作日志可以查看云防火墙的所有配置和操作记录，所有的日志都可以保存六个月，符合网络安全 和等保规范的要求。下面我们来介绍一下云防火墙的产品优势，主要分为七个方面。首先是简单易用。 云防火墙是首次在公共云中提供的萨斯化的防火墙方案，用户在购买后开通云防火墙，能够进行简单的策略配置后就可以使用，不需要传统防火墙的镜像安装、路由设置等复杂的基础系统和网络配置操作。 第二个优势是支持平滑扩展。云防火墙采用了集群部署的模式，支持性能的平滑扩展。 针对单个 ip 的防护流量可以达到两 gb， 防护流量超过两 gb 时，云防火墙支持用户定制。第三个产品优势是系统稳定可靠，采用了双可用居的部署，任何一台服务 器或者是任何一个扩用区故障时，都不会导致防火墙故障。第四个优势是统一的策略管理。因防火墙为用户资产提供了完整的南北向和东西向的访问控制能力，帮助用户建立完整的访问控制和安全隔离能力。 通过云防火墙，用户可以在网络层面控制对云上资产的访问，解决云资产的异常访问问题。第五个优势能够实现实时的入侵防御，内置的威胁检测引擎模块可以同步更新全网的威胁情报，对于来自互联网的威胁实现实时的检测和阻断。 第六个优势是业务关系的可视化，云防火墙通过 top 图能够直观的展现资产以及资产之间的访问关系，支持流量的可视化分析，最大程度 保证了策略的正确性。最后一个优势就是满足等保合规性的要求，满足等级保护中对于边界防护和访问控制等方面的要求。以上就是我们介绍的云防火墙的七大产品优势， 下面我们再来介绍一下云防火墙的使用场景，包括但不限于以下四个场景。首先我们来看第一个对于互联网业务的防护， 对于互联网业务能够统一管理官网 ip， 并且呢内置了 ips 模块，能够同步全网的威胁情报，对来自互联网的威胁进行实时的阻断，同时可以对网络流量进行一个可视化的呈现。 例如像某介入用户除了自身的 http 业务以外，还有其他类型的业务暴露在互联网上，用户需要能够统一管理官网 ip， 并且使用入侵检测模块 进行防护。第二个场景是主动外联管控场景，比如像金融、政府、大企业这些对于安全比较关注的客户， 除了需要关注从互联网到业务的防御，也需要关注业务主动代联的分析，你判断哪些主机已经处于风险状态，并且对这些异常行为进行实时的阻断， 规避潜在的风险。第三个场景就是统一策略的审计，通过对于各种日志文件的分析，可以审计什么人在什么时间，因为什么原因增加了哪些策略？ 策略观察模式允许用户在下达策略时进行一段时间的策略生效性观察，防止用户下达错误的策略配置，影响应用业务的正常运行，并且还可以通过策略的命注数可以判断策略是否 有效。最后一个场景是东西巷的微隔离场景，这种场景是针对于 ecs 数量比较多，并且业务之间比较复杂的客户。通过云防火墙的微隔离和业务可视化的能力，能够帮助管理员梳理业务之间的流量关系，对不同的业务之间进行安全隔离， 增强整体的网络控制能力，从而避免因为某个 ecs 安全风险而导致整个云上业务产生风险。 下面我们再来介绍一下云防火墙在阿里云网络中的位置。从这张图中我们可以看到， 在云防火墙同 buff 防火墙、高防 ipcdn、 官网 sob 等产品进行共用时，云防火墙防护的是原站 ip。 然后我们再来介绍一下云防火墙与安全组有哪些差异。在前面的内容中，我们也介绍过，安全组是 ecs 提供的用于设置 ecs 实力之间访问控制的虚拟主机防火墙，是一种分布式的防火墙，类似于交换机的免费 sl。 而云防火墙是互联网边界防火墙、 vpc 边界防火墙和主机边界防火墙的统称，为用户提供互联网、虚拟网络、主机三种边界的防护。我们来分别对比一下。 首先，安全组只支持对于一组 ecs 来进行访问控制，不支持居于某个 ecs 的访问控制。而云防火墙能够实现基于域名应用和地理区域等多个维度的访问控制，相对于安全组无网络 视化功能五、流量日志、操作审计日志、安全防御能力和官网 ip 管理等这些方面功能。 云防火墙支持流量可视，支持对主动代联行为的识别和阻断，并且能够存储网络及操作日志六个月，满足等级保护的要求。提供操作审计日志，可以定位到具体是哪个 im 账号，在何时增加的何种策略， 并且云防火墙集成了 ips 和威胁情报能力，能够对威胁和事件进行实时的阻断。最后云防火墙能够提供统一管理官网 ip 的功能，发现对于官网 ip 的管理疏忽。 以上就是我们介绍的安全组与云防火墙的主要差异，下面我们来分别介绍一下云防火墙的具体功能操作。首先就是集中 管理官网 ip， 对于从外到内的访问方向，云防火墙清晰的展示了用户有多少官网 ip 开通了云防火墙防护， 有多少 ip 等待开启防护。在控制台上，云防火墙可清晰展示每个公瓦 ip 的防火墙防护状态。对于同一个阿里云账号，用户只需要购买一套云防火墙就可以统一管理全部的 vpc 的公安 ip， 能够实现统一的隔离管理。 然后我们再来看一下互联网的访问分析功能，云防火墙提供了强大的网络流量分析功能，对于互联网访问活动，云防火墙能够清晰的展示出用户当前的业务对待，开放了哪些应用，开放了哪些端口，以及开放的这些应用和端口的功能。 ip 包括用 用户正在使用的对外开放的官网 ip 和官网云产品。比如用户开放了某个应用，在云防火墙的展示界面，我们可以获取该应用的协议 端口信息，开通该应用的 ip 地址以及该应用的当前流量和风险级别，从而帮助用户后续使用的云防火墙访问策略进行精准的防护。通过分析 客户的业务对外暴露了哪些官网 ip， 开放了哪些端口，存在什么样的风险，使得用户了解自己的业务对外开放的情况。 然后我们再来看一下主动外联发现和管控界面。对于从内到外的访问活动，云防火墙可主动发现用户资产的主动外联情况，包括外联的哪些域名，进行主动外联的资产 id 地址以及协议访问的流量和 次数。通过针对主动代联的 ip 和域名进行分析，帮助用户提前发现和管控外联的行为，规避业务风险。 在发现主动外联行为之后，我们可以使用云防火墙实现精细化的访问控制。 用户可以配置基于域名的访问控制策略，比如我们可以配置一条由内而外的策略，由内网的任意访问员到公网，某些域名和公网 ip 的访问是允许的，其他的访问全部拒绝。 当用户的内部主机发生主动外联行为时，如果对应的 ip 和域名不再对于主机开放的列表内，该访问就会被阻断掉。通过这种基于域名的精细化访问控制策略，可以阻断潜在的主动外联行为，保障用户的业务安全。 然后我们再来介绍一下云防火墙内置的入侵防御隐形模块。 ips 云防火墙提供了企业化的入侵防御能力， ids 模块集成了全网的恶意 ip 和恶意 ui 地址库，可对主动代言的行为来进行拦截。 内置了云平台长期攻防实战中积累的入侵防御规则，识别率高、估爆率小。同时 ips 还提供了虚拟补丁的功能，可对热门的漏洞、高于零倍漏洞、 nd 漏洞进行精准防护。对于用户来说，不需要在业务系统上安装补丁就可以实时修复。 下面我们再来介绍一下云防火墙的日志管理功能。云防火墙提供了完善的日志管理功能，可以存储经过防火墙的流量日志、 ips 模块产生的事件日志、用户对于防火墙进行配置的操作日志，并且所有的日志均可以存储六个月，满足等级保护和网络安全法的要求。 最后我们再来介绍一下云防火墙针对于策略自动运维和审计管理方面的功能。为了能够方便的引用 ip 地址或者是端口信息，实现策略的灵活配置，云防火墙支持将多个 ip 地址或者是多个端口指定成一个地址。故 壁纸布支持三种，分别是 it 壁纸布、端口壁纸布和 ecs 标签壁纸布。在图中我们可以看到想试的是 ecs 标签壁纸布， 用户可以指定一组 ecs 标签，云防火墙会自动将具有这些标签的 ecs 功能 ip 放在一个地址布中。针对于该 地址部，我们可以预先编辑好防护策略，当 eip 进行扩展时，我们可以实现策略的自动运维， 也就是说将新加入的具有相同 ecs 标签的 ecs 主机加入到地址布中，并且对应了相应的防护策略，实现对于策略的自动认为好，关于云防火墙的内容我们就介绍到这。

我们知道阿里云为每个供网 ip 提供不到五 gbps 免费滴滴奥斯防护。这个免费滴滴奥斯原声防护的基础版。阿里云滴迪奥斯原声防护有两个版本，即基础版和企业版。基础版是免费的， 企业版是收费的。阿里云 ddos 原生防护直接为阿里云攻网 ip 资源，包括云服务器 ecs 负载均衡、 slb vip 用防火墙和弹性攻网 ip 提升 ddos 攻击防御能力。主要提供针对三层和四层流量型攻击的防御服务。 当流量超出滴滴二次元声防护的默认清洗预值后，自动触发流量清洗，实现滴滴二次攻击防护。滴滴二次元声防护采用被动清洗方式为主，主动压制为辅的方式，针对 dds 攻击，在反向探测、黑白名单、豹纹合规等标准技术的基础上，保证被防护用户在攻击持续状态下 仍可对外提供业务服务。 ddos 原声防护通过在阿里云机房出口处建设 ddos 攻击检测及清洗系统，采用旁路部署方式。 nnddos 原声防护和 ddos 高防有什么区别？ ddos 原声防护使用更简单， 滴滴往学生防护可以直接把防御能力加载到云产品上，没有四层端口、七层域名数等限制。滴滴往学生防护部署简易，购买后只需要绑定需要防护的云产品的 ip 地址即可使用，几分钟内生效。