239      iPhone_iPad_Mac_手机_平板_苹果apple

主机防火墙__用户指南_服务器安全(安骑士)-阿里云

防火墙模块运行在Aliyundun进程中，当前支持TCP、UDP以及HTTP协议的自定义访问控制。

• 首次添加服务器到策略组，由于防火墙模块安装需要大概3-5分钟，若显示防护失败，请多重试几次。

支持系统

• 支持系统： CentOS 6.x、Windows 2008及以上
• 不支持系统：Windows2003、CentOS7.x以及其余未提及的linux系统

应用场景

• 四层防护： 针对服务器的 ip、端口、协议 访问控制策略，类似于iptables
• 七层防护（HTTP精准策略）： web应用防护，专门针对http/https进行防护，可以针对具体的某个web页面设置防护策略

资源占用

• 内存：运行时可能会消耗您几M物理内存（一般在6M左右，不会大于10M）。
• CPU：以双核ecs为例，在10MBit/s流量下（满负荷），会消耗8%左右的cpu值。

实现原理

使用了内核技术，接管了一部分网络协议栈的工作，所以当您看到Aliyundun这个进程使用了较大cpu的时候，是因为原来网络协议栈这部分工作内容转嫁到Aliyundun 中，Aliyundun 承担了这部分工作内容而造成了额外的cpu消耗，但是实际上总体性能消耗并没有额外的增加（实际消耗8%左右）

访问控制模块使用内核技术在本机上实现了透明代理，无需重启服务器和web服务，无需修改任何参数和配置，即可使用，即插即用，并支持防御策略的实时热更新。

匹配顺序

超级白名单 > 超级黑名单 > 自定义策略 > 云盾协同防御策略 > 默认策略

支持内容

• TCP、UDP：入方向
  • 允许所有IP访问：即对所有外部过来访问该服务器指定端口的IP均放行
  • 不允许所有IP访问：即对所有外部过来访问该服务器指定端口的IP均拦截
  • 只允许特定IP访问：该端口只开放给特定IP来访问，其余过来访问的IP均拦截
  • 不允许特定IP访问：该端口只对某些IP拦截，其余IP过来访问均放行
  • 超级报名单：超级白名单中的IP，不区分端口，所有请求均放行
  • 超级黑名单：超级黑名单中的IP，不区分端口，所有请求均拦截
  • 默认规则：即匹配完所有策略后，若未命中任何一条策略采取的动作

• TCP、UDP：出方向
  • 允许主动对外访问所有服务器该端口：即该台服务器允许主动外连所有服务器的指定端口（如需设置该台服务器需要上所有的http web网站，则设置：允许主动对外访问所有服务器的 80 端口）
  • 不允许主动对外访问所有服务器该端口：即该台服务器不允许主动外连其他服务器的指定端口
  • 不允许对外访问以下服务器的该端口：即不允许对特定服务器的特定端口进行访问，其余对外请求特定端口均放过
  • 只允许对外访问以下服务器的该端口：即只对访问特定服务器的特定端口进行放行，其余对外访问特定端口的请求均拦截
  • 默认规则：即匹配完所有策略后，若未命中任何一条策略采取的动作

• HTTP精准策略：对协议为http且开启精准策略开关的端口，才会生效http策略

  • 访问控制支持全部method：get，head，trace，delete，options，lock，mkcol，copy，move，post，put
  • 支持大多数header：cookie，host，from，referer，expect，te，content-type，user-agent，accept，accept-encoding，accept-charset，accept-language，authorization，proxy-authorization，x-forwarded-for，x-remote-ip，max-forwards，range，if-range，if-match，if-none-match，if-modified-since，if-unmodified-since，request_uri，uri_dir，uri_file
  • 支持字符串搜索和正则两种匹配算法

操作步骤

1. 新建防火墙策略组。

   

2. 配置端口和详细访问规则。

   

3. 选择需要生效的服务器。

   

4. 查看拦截日志。

最后更新：2016-11-23 16:04:12

  上一篇： 补丁管理__用户指南_服务器安全(安骑士)-阿里云

  下一篇： 安全运维__用户指南_服务器安全(安骑士)-阿里云