云防火墙试用体验

腾讯云防火墙

腾讯云防火墙（Cloud Firewall，CFW）是一款基于公有云环境下的 SaaS 化防火墙，主要为用户提供互联网边界的防护，解决云上访问控制的统一管理与日志审计的安全与管理需求。云防火墙不仅具备传统防火墙功能，同时也支持云上多租户、弹性扩容功能，是用户业务上云的第一个网络安全基础设施。

官网的介绍如上，实际上，这个是管控账号维度下的一些资产的防护，并非是网络站点的防护，很多时候我们会把这个和web防火墙搞混。那么，我们看下它的内容吧。

云防火墙的菜单

登录：https://console.cloud.tencent.com/cfw

即可看见自己的云防火墙控制台。

入眼的会是一个基本的教程。

有新手，等保，重保三个档次，可以根据需要按指引设置。

不同的场景会提示不同的用法，这里仅作展示，不做具体的演示。

了解完几个版本，我们可以从菜单来开始认识这个产品。

概览页

首先可以看到概览页提供的一些基本信息。

可以看到防火墙还是做了基本防护的，只是默认策略是不处理告警。

可以看到资产处于防护中，其中某些需要和其他安全产品联动，如主机安全。

进入防火墙设置，我们先看下基本的设置。

防火墙设置

在旁路防火墙带宽配置中，减少带宽分配，即可空出南北向带宽，此时，可在串行防火墙带宽配置中进行带宽的设置，然后在实例的防护就可以选择串行模式。

通过描述可以看到串行防火墙显然是更为安全的一种模式，因此需要合理的预估业务性能，配置足够的带宽来进行业务的防护。

往下是是否自动开启新资产防护和默认流量模式设置。

当有多个资产时，需要配置权重。

NAT边界防火墙容灾配置

当NAT边界防火墙流量达到实例带宽规格后，可能会出现网络拥堵，严重时可能会出现丢包等现象。

设置时间后，当防火墙监控到满载持续时间达到预设值后会切换至bypass状态并自动关闭对应实例所有开关，无法自动恢复。

请注意此设置建议根据业务流量模型和敏感性合理预估，bypass操作较重请谨慎配置。

防火墙满载最长持续时间 ：不自动、30s 、30min

控制面断联容灾切换配置

当控制面与引擎失联后，您可以选择是否自动将防火墙实例切换至bypass状态。

控制面与引擎断联不会影响已经下发的存量防火墙配置和规则。

服务器直连公网IP出口设置

当路由表中存在下一跳类型为「云服务器的公网IP」时，您可以选择是否在防火墙开关操作引流时保留这些路由启用状态。

vpc间开关

VPC间防火墙容灾配置

当VPC间防火墙流量达到实例带宽规格后，可能会出现网络拥堵，严重时可能会出现丢包等现象。

设置时间后，当防火墙监控到满载持续时间达到预设值后会切换至bypass状态并自动关闭对应实例所有开关，无法自动恢复。

请注意此设置建议根据业务流量模型和敏感性合理预估，bypass操作较重请谨慎配置。

防火墙满载时间同上。

控制面断联容灾切换配置

当控制面与引擎失联后，您可以选择是否自动将防火墙实例切换至bypass状态。

控制面与引擎断联不会影响已经下发的存量防火墙配置和规则。

防火墙开关

这个地方主要是设置资产防护的开关，和采用何种模式，串行或旁路。

资产中心

该中心主要是盘点资产和同步资产，这里会显示所有的名下的资产

在这个地方会完整显示，所以可以完成对资产的盘点和标记。

风险中心

主要是漏洞和风险的报告，支持体检任务，主要针对域名核心资产做检测，如果发现多余，可以在资产中心去掉标记。

告警中心

这个菜单主要显示的是一些具体的问题详情，点开可以看到对应的风险事件的由来。

可以选择放通、封禁、忽略三个选择。

在详情查看威胁情报会跳转到中心。

可以根据信息做进一步判断。

流量中心

这个地方其实就是看流量是从哪里来的，显示了业务的流量分布情况。在流量日志中可以看到一些详情：

访问控制

这里主要是一些规则的设置。

具体的一些规则内容，请参考文档或安全组的写法。

零信任运维

这个需要先完成一个授权，角色授权。

剩余部分涉及到ioa产品的购买，需要有该产品授权，

主要流程是在ioa的控制台进行组织架构目录的建立和梳理，完成人员的创建，然后在此做接入。

防火墙对应的版本会有一定的配额。

根据指引完成填写和接入即可。

入侵防护

这个地方主要是对关于入侵的一些动作说明。

默认是观察模式，可以设置为拦截模式，就自动处理，如果是重保，用严格模式。

主要有四大板块和规则，威胁情报，基础防御，虚拟补丁，安全基线。

网络蜜罐

网络蜜罐服务是一种仿真的业务系统，实际不会承载任何真实业务，通过探针暴露在租户的网络中后，如被攻击者踩中，则会主动记录攻击者信息并追溯攻击手法，为真实业务的防御提供准确的攻击者情报与反制溯源能力，并在重保场景中，为真实业务争取足够的时间，达到防守成功的目的

日志审计

主要是如下类型的日志。

日志分析则会显示日志的一些具体参数，

{
"address":"荷兰北荷兰省阿姆斯特丹"
"bot_flag":0
"count":0
"direction":"入站"
"district":""
"dst_city":""
"dst_country":""
"dst_domain":""
"dst_ip":"119.29.xx.xx"
"dst_lat":0
"dst_lon":0
"dst_port":3389
"dst_province":""
"dst_province_en":""
"end_time":1733045109
"in_pkt_count":2
"in_pkt_len":80
"instance_id":"lhins-98742pfz"
"is_serial":0
"level":0
"mode":0
"out_pkt_count":4
"out_pkt_len":160
"port_status":0
"protocol":"TCP"
"src_city":"阿姆斯特丹"
"src_country":"荷兰"
"src_ip":"185.216.140.186"
"src_lat":52.379227
"src_lon":4.893581
"src_port":41011
"src_province":"北荷兰省"
"start_time":1733045108
"supplier":"FiberXpress BV"
"tcp_flag":50
"ti_tag":""
"timestamp":"2024-12-01T17:25:08+08:00"
"total_pkt_count":6
"total_pkt_len":240
"url":""
}

针对源站做了脱敏。

还可以进行投递。

通知设置

这里主要是各种告警的通知设置，比如事件类型，时间，对象等。

通用设置

主要是云内ip封禁，访问规则开关，和蜜罐自动重建开关。

云防火墙封禁IP时支持根据恶意IP类型自动下发对应企业安全组规则至DMZ区，请勿手动修改对应参数模板和企业安全组规则

网络蜜罐中，如果蜜罐失陷，可选择是否自动重建蜜罐和间隔时间

常用工具

地址模板

为用户提供更方便快捷的方式批量管理常用地址。用户可以在地址模板中创建 IP 模板、域名模板或协议端口模板；模板可应用于访问控制规则中，方便管理和运维。

策略备份与回滚

为用户提供对访问控制规则、封禁列表、白名单策略、地址模板等进行快捷备份和回滚；支持定期自动备份。

日志导出与下载

为用户提供离线导出日志并下载文件；支持将日志导出至自有COS。

自动化助手(Beta)

为企业版及以上版本用户提供自动化指令和定时指令的运维工具，用户可以自行编排指令实现自动化运维。

网络抓包工具

为企业版及以上版本用户提供获指定IP和端口的网络数据包、分析数据包内容的工具，帮助您定位网络故障和分析攻击行为，从而识别出网络通信的安全风险。

模拟拨测

为企业版及以上版本提供在防火墙上执行模拟拨测任务的工具，实时监控和验证网络连通性，确保访问链路正常运行，提高网络安全性和稳定性。

以上就是今天的所有的防火墙的内容了，由于脱敏原因，所以没有高清大图，建议直接购买防火墙或自己用自己的账号直接申请试用来体验。

结语

通过对防火墙菜单的了解，我们可以知道这个产品是以账号为维度的。他接管的是所有云上的账号下的资产。如果为了达到最好的效果，还需要配合云上安全中心soc、主机安全、零信任管理，日志投递等多项相应的服务或产品。

通过一些规则设置菜单，我们可以了解到这个产品。在规模化的业务场景下是不可或缺的。它主要承接的是前端的一些流量的辨别或清洗工作，其安全范围更为广泛。不同于主机安全和web防火墙的单一维度的单元防护，它较为全面的兼顾了多项资产，是等保或提高安全等级必备的产品。

购买：https://buy.cloud.tencent.com/cfw?adtag=cfw.from.console.page.whiteUser