腾讯云云防火墙对接使用完全指南:从零搭建云上安全防线
1. 云防火墙产品定位与架构概览
腾讯云防火墙(Cloud Firewall,简称CFW)是一款基于云原生架构的SaaS化防火墙产品,为企业云上业务提供统一的安全策略管控与威胁防护能力。与传统的硬件防火墙不同,CFW采用SDN技术实现云上资产的自动识别和一键开关防护,用户无需进行任何网络接入部署与路由策略配置,也无需安装镜像文件,即可获得即开即用的产品体验。
需要先登录腾讯云控制台,点击:腾讯云控制台,还没有账号,点击:注册后再关联,已有账号点击:登录后再关联
在架构设计上,CFW采用高可用架构,通过多可用区(AZ)部署、分布式集群、实时健康检测与自动故障切换等核心技术保障服务连续性。集群采用跨可用区双活架构,当任一可用区发生故障时,业务流量可自动无缝切换至其他健康可用区。同时,分布式处理架构将客户会话负载均衡到集群内的多台处理节点上,既能有效应对流量洪峰,也能实现故障隔离。
从功能覆盖来看,CFW已全面打通互联网边界、NAT边界、VPC专线边界及主机网卡边界,形成办公网与生产网的统一深度防护。产品最高支持100Gbps公网流量处理能力,承诺99.95%的系统高可用性。在协议支持方面,CFW能够解析还原FTP、TLS、SSH、TCP、UDP、HTTP、HTTPS等15种协议。
2. 产品版本与计费模式
腾讯云防火墙共提供三种收费版本:高级版、企业版和旗舰版。每个版本按照功能模块及默认规格划分,以适应不同资产规模和需求类型的客户。三个版本均支持基于性能规格和资产规模的弹性扩容。用户在购买前应根据自身业务规模、需要防护的资产数量以及所需功能模块(如地域封禁、日志分析等)来选择合适的版本。
3. 核心功能模块与边界防护
CFW提供了四个核心功能模块,分别对应不同的网络边界和防护场景。
3.1 互联网边界防火墙
互联网边界防火墙是CFW最基础也是最重要的防护能力。在互联网边界开关页面,系统会自动探测用户所持有的公网IP以及关联的云上资产,并自动配置对应的防火墙开关。用户只需一键即可开启防护。
互联网边界防火墙支持串行和旁路两种部署模式。串行防火墙直接部署在网络数据流的路径上,所有经过的数据包都需要经过防火墙的检查和处理,能够提供深度包检测和较高的安全保障。使用串行模式前,用户需要为每个地域分配对应的带宽,建议根据业务峰值合理预估。旁路防火墙则通过镜像或端口复制技术获取网络流量的副本进行分析和检测,对性能要求较低。旁路模式仅能防护TCP、HTTP/HTTPS和TLS/SSL协议的流量,且腾讯云内部公网互访流量由于网络架构特性无法受旁路防火墙防护。
3.2 NAT边界防火墙
NAT边界防火墙主要用于管控云服务器主动外联行为,检测并阻断失陷主机的非法外连。它提供两种部署模式:
- 新增模式:防火墙直接承载NAT网关功能,公网IP挂载于防火墙实例上,简化网络拓扑,实现安全与网络功能的统一管理。
- 接入模式:防火墙以串行方式部署在云服务器与现有NAT网关之间,作为流量清洗的中间跳点,保留用户原有NAT网关架构。
开启NAT边界防火墙的操作路径为:登录云防火墙控制台,在左侧导航栏中单击"防火墙开关",选择"NAT边界(集群)"页签,在NAT网关列表中找到需要开启防护的实例,单击防火墙开关列的开关按钮即可。
3.3 VPC边界防火墙
VPC边界防火墙基于对租户内VPC之间配置访问控制规则,控制VPC之间的访问行为,实现VPC之间的安全隔离。系统会自动探测VPC信息与互通关系,并在每一对互通的VPC间建立云防火墙开关。开启方式为:在云防火墙控制台选择"防火墙开关 > VPC边界",在防护对象列中找到需要防护的云联网实例,开启防火墙开关即可。
3.4 企业安全组
企业安全组是CFW面向内网微隔离场景的重要功能。它保持基于五元组的配置习惯,方便运维人员管理安全组配置,满足VPC子网间、VPC间、混合云专线间的防护场景。企业安全组支持阻断日志,帮助用户轻松构建云上的DMZ区。与VPC中原生的安全组相比,CFW的企业安全组功能更为强大,支持通过资产标签、CIDR等方式实现万台资产一键下发安全策略。
企业安全组还提供了"自动双向下发"功能。在内网对内网的双向阻断或放行场景中,不再需要在两个方向配置两条一模一样的规则,系统可自动实现双向策略的同步。配置企业安全组时,用户可在云防火墙控制台左侧导航中选择"访问控制 > 企业安全组"进行操作。
4. 访问控制规则配置
访问控制是防火墙的核心功能。CFW遵循传统防火墙的规则配置模式,降低了用户的学习成本。云防火墙默认放行所有流量——打开云防火墙开关后,系统会开始记录流量日志并产生入侵防御告警,但由于没有配置规则,此时不会阻断任何流量。
4.1 规则配置原则
配置访问控制规则时应遵循以下原则:
- 白名单优先:先添加放行规则,再添加阻断规则。云防火墙的判定顺序为:封禁列表 > 访问控制规则 > 放通列表 > 入侵防御规则。
- 精细化控制:支持基于五元组(源IP、目的IP、源端口、目的端口、协议)、7层协议、域名、资产实例/分组/标签、地域及云厂商的精细化策略配置。
- 地域封禁:高级版及以上版本支持地域封禁功能。例如,可以配置入站规则放通国内IP访问,同时阻断国外IP访问。
4.2 配置示例:仅放行指定端口
若需要实现只允许访问放行的端口,操作方法如下:开启互联网防火墙后,在控制台选择"访问控制 > 互联网边界规则 > 入站规则",进入入站规则页面。先添加规则放行需要的端口,再添加一条阻断所有端口的规则。规则配置后通常需要10秒到1分钟左右生效。
4.3 域名级别的访问控制
互联网防火墙和NAT防火墙均支持在出站规则中使用域名进行访问控制,VPC间防火墙也支持域名访问控制规则。目前中国大陆和中国香港地区的资产支持通过域名来配置限制策略。需要注意的是,入站规则的访问源无法选择域名模板,因为入站的来源不可能是域名。
5. 入侵防御系统(IPS)
CFW集成了强大的入侵防御系统(IPS),提供动态的入侵检测与阻断能力。IPS的核心能力包括:
- 威胁情报驱动:秒级更新云端恶意IP/域名库,自动封堵恶意IP地址或域名。
- 多维度防御:支持扫描探测、恶意文件上传、SQL注入等8大类基础防御,以及挖矿、勒索、僵尸网络等8大类失陷检测。
- 虚拟补丁:内置约350条虚拟补丁规则,每条对应一个漏洞。在严格模式下包含163个规则,拦截模式下可覆盖91%的风险。
开启IPS的操作为:登录云防火墙控制台,在左侧导航栏中单击"入侵防御",进入入侵防御页面后找到"基础防御"模块,单击"查看规则"即可查看和配置基础防御规则列表。
6. 日志审计与分析
日志审计是CFW满足等保合规要求的重要功能。CFW主要提供三类日志:
- 规则命中日志:当访问控制规则生效并命中后,记录被命中流量的五元组信息,便于安全运维和故障排查。
- 用户操作日志:记录用户在云防火墙的所有操作,包括登录、防火墙开关操作、规则的新增/删除/编辑等。
- 流量日志:包括互联网边界流量日志、NAT边界流量日志、VPC边界流量日志、DNS流量日志等。
6.1 日志投递至CLS
通过日志投递功能,用户可以将云防火墙日志自动投递到指定的CLS(腾讯云日志服务)实例中,实现日志的高效存储与分析。日志投递支持两种网络接入方式:公网接入和腾讯云VPC内网接入。内网接入在安全性和传输性能上更具优势。
配置日志投递至CLS的步骤为:
- 登录访问管理控制台,为防火墙日志投递任务创建专属子账号,并授予QcloudCLSFullAccess权限。
- 登录云防火墙控制台,在左侧导航栏中单击"日志分析"。
- 在日志分析页面单击"日志投递",进入"投递至CLS"页面。
- 填写子账号的SecurityID和SecurityKey进行身份认证。
- 将投递开关从关闭状态切换为打开状态。
- ModifyAllPublicIPSwitchStatus:开启或关闭一个或多个互联网边界防火墙
- ModifyAllVPCSwitchStatus:开启或关闭一个或多个VPC边界防火墙
- ModifyVpcFirewallDefaultIPSConfig:修改VPC边界防火墙的入侵防御配置信息
- 与Anti-DDoS Advanced协同:CFW提供访问控制与威胁防护,Anti-DDoS提供大流量攻击防御,两者结合可应对DDoS攻击与应用层攻击。
- 与Web应用防火墙(WAF)协同:CFW在网络层进行访问控制和IPS防护,WAF在应用层进行Web攻击防护。
- 与安全组协同:CFW的企业安全组功能可以替代或增强VPC原生安全组的能力。
- 与SIEM系统集成:通过API或日志代理将CFW日志同步到Splunk、Elasticsearch等SIEM系统,实现全面的安全监控和响应。
- 梳理云上资产清单,明确需要防护的公网IP、VPC和子网。
- 评估业务流量峰值,为串行防火墙合理分配带宽。
- 了解各版本的功能差异,根据实际需求选择合适的版本。
- 最小权限原则:仅放行业务必需的端口和IP,默认拒绝所有其他流量。
- 优先级管理:将放行规则的优先级设置在阻断规则之前,避免误拦截。
- 定期审计:定期检查访问控制规则的有效性,清理无效或过期的规则。
- 利用地址模板:在地址模板中批量管理IP,提高规则配置效率。
- 关注告警中心的安全事件告警及被阻断的访问记录。
- 定期查看流量访问情况和带宽使用情况。
- 使用安全基线功能维护产品健康稳定。
- 开启公网资产未保护和入侵拦截未开启的告警通知,提升安全效果。
6.2 日志投递至Kafka
除了CLS,CFW还支持将日志投递至Ckafka实例。日志投递功能可以按照不同的云防火墙日志类型,分别投递到指定的Ckafka topic中。投递方式支持公网域名接入和支撑环境接入两种。
7. API对接与自动化运维
腾讯云防火墙提供了完整的API 3.0接口,用户可以通过API对云防火墙进行切换防火墙状态、管理入侵防御、管理访问控制等操作。API接入是除控制台操作外的另一主要使用方式。
7.1 API调用准备
调用CFW API需要先获取腾讯云API密钥(SecretId和SecretKey)。推荐使用API Explorer进行在线调试,该工具提供了在线调用、签名验证、SDK代码生成和快速检索接口等能力。腾讯云建议使用安全系数更高的V3签名算法。
7.2 Python SDK调用示例
以下是一个使用Python SDK查询VPC边界防火墙详细信息的示例代码:
import json
from tencentcloud.common import credential
from tencentcloud.common.profile.client_profile import ClientProfile
from tencentcloud.common.profile.http_profile import HttpProfile
from tencentcloud.cfw.v20190904 import cfw_client, models
# 替换为自己的腾讯云API密钥
secret_id = "your-secret-id"
secret_key = "your-secret-key"
cred = credential.Credential(secret_id, secret_key)
httpProfile = HttpProfile()
httpProfile.endpoint = "cfw.tencentcloudapi.com"
clientProfile = ClientProfile()
clientProfile.httpProfile = httpProfile
client = cfw_client.CfwClient(cred, "ap-guangzhou", clientProfile)
# 查询VPC边界防火墙详情
req = models.DescribeVpcFirewallCenDetailRequest()
params = {
"VpcId": "vpc-xxxxxx" # 替换为要查询的VPC的ID
}
req.from_json_string(json.dumps(params))
resp = client.DescribeVpcFirewallCenDetail(req)
print(resp.to_json_string())以上示例代码中,需要将"your-secret-id"和"your-secret-key"替换为自己的腾讯云API密钥,将"vpc-xxxxxx"替换为要查询的VPC的ID。
7.3 关键API接口
CFW提供的关键API接口包括:
8. 云防火墙与其他产品的协同防护
CFW可以与其他腾讯云安全产品协同工作,构建多层次的安全防护体系:
9. 最佳实践与运维建议
9.1 开启前准备
在使用云防火墙前,建议完成以下准备工作:
9.2 规则设计原则
9.3 高可用性考虑
CFW本身具备高可用架构,但在使用NAT边界防火墙的新增模式时,建议额外配置一个标准的NAT网关作为备用出口。当防火墙发生故障时,可通过切换备用路由将流量导向备用的NAT网关。需要注意的是,此切换会导致出口EIP发生变化,所有通过原EIP建立的活跃网络连接会中断。如果第三方服务已将原EIP加入访问白名单,需提前将备用NAT网关的EIP也加入白名单。
9.4 监控与告警
10. 常见问题解答
问:云防火墙默认是放行还是拦截所有流量?
答:云防火墙默认放行所有流量。开启防火墙开关后,系统会开始记录流量日志并产生入侵防御告警,但由于没有配置访问控制规则,此时不会阻断任何流量。用户需要自行配置访问控制规则来实现流量的精细化管控。
问:配置访问控制规则后多长时间生效?
答:云防火墙配置规则后,通常需要10秒到1分钟左右使规则生效。如果规则配置后未立即生效,建议稍等片刻再验证。
问:互联网边界防火墙的串行模式和旁路模式有什么区别?
答:串行模式直接部署在网络数据流路径上,所有数据包都经过防火墙检查,能提供深度包检测和较高的安全保障。旁路模式通过镜像流量进行分析检测,对性能影响较小,但防护能力相对有限,仅能防护TCP、HTTP/HTTPS和TLS/SSL协议的流量。串行模式需要预先分配带宽,旁路模式则无需。
问:云防火墙支持通过域名配置访问控制规则吗?
答:支持。互联网防火墙和NAT防火墙均支持在出站规则中使用域名,VPC间防火墙也支持域名访问控制规则。目前中国大陆和中国香港地区的资产支持通过域名来配置限制策略。但入站规则的访问源无法选择域名模板。
问:如何将云防火墙的日志投递到外部系统进行分析?
答:CFW支持将日志投递至腾讯云日志服务CLS和Ckafka。配置投递至CLS需要先创建具有QcloudCLSFullAccess权限的子账号,然后在云防火墙控制台的"日志分析 > 日志投递"页面填写子账号密钥完成配置。此外,也可以通过API将日志同步到Splunk、Elasticsearch等第三方SIEM系统。
问:企业安全组与VPC原生安全组有何不同?
答:VPC原生安全组功能较为有限,通常用于为服务器特定服务设置白名单。CFW的企业安全组功能更加强大,支持智能算法统一部署策略。企业安全组还支持通过资产标签、CIDR等方式实现万台资产一键下发安全策略,并提供"自动双向下发"功能,简化内网双向访问控制的配置。
