阿裡雲防火牆測試調研
一.主要功能
雲防火牆是阿裡雲推出的公有雲環境下的saas式防火牆,從産品調研和測試中,我們了解到其主要有以下幾個功能
1.政策控制(南北向,東西向)
2.網絡流量分析(主動外連,流量/連接配接等活動趨勢)
3.IPS(基于内置規則的基礎防禦,針對高危漏洞的虛拟更新檔)
4.全量日志(流量日志,記錄檔)
二.功能體驗
試用過程中,主要測試和驗證幾個核心功能目前階段能達到的效果,以及從實用性的角度來考察能不能解決或優化公司目前面臨的一些問題。
1.政策控制
安全政策---通路控制菜單下,主要有三個标簽頁,分别為内-外流量,外-内流量,内-内流量;
其中内-外流量和外-内流量為面向網際網路的流量,也即俗稱的南北向流量;内-内流量也即俗稱的東西向流量,對我們而言,内-内這個标簽頁下面的政策,為雲防火牆自動從安全組同步和學習過來的政策。
如下圖,安全組政策被自動同步到了内-内流量的标簽頁,這裡可以直接修改對應的安全組政策,釋出後生效:
![](https://img.laitimes.com/img/9ZDMuAjOiMmIsIjOiQnIsIyZuBnL5ETZzUWMkRmZ5gDOhJmN1gDMiFmZilTYmJTO2gjN5UzMmFGM5UzMj9CXt92Yu4GZjlGbh5SZslmZxl3Lc9CX6MHc0RHaiojIsJye.png)
從配置管理的角度,内-内這裡依然是通過安全組規則來實作的,隻不過是另一個配置入口,并無太大改變;
另一方面,内–外流量和外–内流量這裡的政策配置,則和安全組沒有關系,且支援自定義ip位址簿等能簡化配置的功能(我們還提了建議,支援自定義端口組),基本上是一個标準的防火牆配置,從管理配置體驗上,比安全組好很多,且能大幅降低政策數目,提高配置效率;
不過,遺憾的是,原來以為雲防火牆以VPC作為一個流量單元,進出VPC的政策控制(包含VPC去往網際網路,以及VPC和VPC之間的流量)均可直接在外--内和内--外标簽頁下進行配置,後來了解到,外—内流量和内—外流量這兩個标簽頁下,隻能控制和配置去往網際網路的政策,不支援兩個VPC之間的,而我們目前雲上的政策控制主要是通過VPC之間來做控制的,EIP已經很少了,是以這一塊功能,目前并不能為我們帶來太大便利。
關于這個問題,雲防火牆産品團隊表示,後續在東西向高速通道上會有專門的元件。但現在是不支援的。
2.網絡流量分析
基于目前的網際網路攻擊态勢,NTA網絡流量分析其實是我們很關注的功能,增加了一個新的攻擊發現次元。
主動外聯這裡,可以看到目前網絡環境下,主動連接配接的外部域名;如果将該子產品與第三方威脅情報平台對接,則可以快速的定位出可能存在問題的通路記錄。從測試驗證的角度來看,主動外連的域名記錄基本是完整的。
此外還提供基于IP和端口的資料統計,有一定的參考價值。
3.IPS
IPS功能子產品支援觀察模式和攔截模式,主要功能包括基礎防禦,以及針對高危漏洞的虛拟更新檔
測試過程中,因為加入測試的EIP隻有兩個,是以基礎防禦功能實際效果尚不完全确定。
值得一提的是,虛拟更新檔這個功能看上去還不錯,啟用友善,阿裡雲針對熱門漏洞,也能及時推出熱更新檔:
4.日志功能
該功能子產品記錄了基礎的操作行為和流量日志,可以滿足基本的操作審計以及流量的回溯分析。對于威脅事件,也有一定記錄;
三.計費模式與版本
目前,雲防火牆提供幾種版本供使用者選擇:
但從上表中可以看到,企業版和旗艦版,費用均和ECS數目有關,較不适合我司這種ECS數量多,且增長較快的企業;
而對于進階版,主要存在兩個問題
1.進階版的計費模式中,也存在和帶寬相關的擴充費用,且目前費用并不低;主要原因在于其擴充帶寬的計費,是按照所有EIP帶寬之和的最大值來計算的。
2.進階版模式,并不支援東西向通路控制;
事實上我們并不強制需要通路控制功能,但是如果有雲防火牆能幫助我們優化這一塊的管理,當然會更好。我們目前以VPC為級别進行通路控制,而按照阿裡雲的說法,目前并不支援VPC級别的通路控制;即使以後推出,這個功能也隻會在東西向的通路控制子產品裡,而進階版并不支援這一功能。是以通路控制這一功能子產品對我們的改善有限,除非以後該産品再進行比較大的改進。
四.總結
綜合以上分析,得到以下結論
1.功能方面,網絡流量分析以及IPS子產品,整體功能還是很不錯的,對于提升安全感覺能力和防護水準會有幫助;而通路控制功能,以我們目前使用環境和産品現狀,暫時沒有太大作用;不過該功能和使用者目前雲上安全隔離的實作方式有關,在有的使用者環境下,特别是EIP較多的公司裡,相信還是會有幫助的。
2.費用方面,目前的計費模式雖然較之前已經不一樣了,但個人認為依然有些偏高(主要是帶寬擴充費用),希望這一方面将來有所改善