騰訊云防火墻 2.1.0 版本正式發(fā)布！
大家好，我是騰訊云防火墻的產(chǎn)品經(jīng)理jojen，又見(jiàn)面了，今天在這里和大家聊一聊NAT邊界防火墻
一、什么是NAT技術(shù)
首先，作為網(wǎng)絡(luò)工程或網(wǎng)絡(luò)安全從業(yè)人員，大家可能都知道，隨著互聯(lián)網(wǎng)產(chǎn)業(yè)的蓬勃發(fā)展，當(dāng)前全球網(wǎng)絡(luò)設(shè)備的數(shù)量到2021年將達(dá)到全球人口數(shù)量的三倍以上，已經(jīng)遠(yuǎn)遠(yuǎn)超出目前我們使用的IPv4地址的總數(shù)，如果所有設(shè)備同時(shí)上網(wǎng)，就會(huì)導(dǎo)致IP地址不夠用的情況，那么互聯(lián)網(wǎng)先驅(qū)者們?nèi)绾谓鉀Q這個(gè)問(wèn)題的呢？—— 一是使用更大地址空間的IPv6地址(這個(gè)我們留到以后專門來(lái)討論), 另一個(gè)就是通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)實(shí)現(xiàn)地址復(fù)用，也就是我們今天要討論的NAT技術(shù)。
NAT技術(shù)通過(guò)將內(nèi)網(wǎng)IP地址轉(zhuǎn)換成公網(wǎng)IP地址與互聯(lián)網(wǎng)的其他公網(wǎng)IP進(jìn)行通信，這樣一來(lái)，多個(gè)設(shè)備可以通過(guò)分享端口的形式，復(fù)用同一個(gè)公網(wǎng)IP上網(wǎng)，便可以解決IP地址不夠用的問(wèn)題，這種設(shè)計(jì)類似于全球電話系統(tǒng)的分機(jī)號(hào)機(jī)制。
那么NAT這種技術(shù)在網(wǎng)絡(luò)安全當(dāng)中又有什么應(yīng)用和缺點(diǎn)呢？

二、NAT邊界防火墻
首先，通過(guò)NAT技術(shù)，可以很好地實(shí)現(xiàn)互聯(lián)網(wǎng)暴露面的梳理與收斂，我們從騰訊云真實(shí)流量感知與分析當(dāng)中發(fā)現(xiàn)，公網(wǎng)IP一旦暴露在互聯(lián)網(wǎng)中，則會(huì)遭受黑客組織無(wú)時(shí)無(wú)刻的掃描攻擊與探測(cè)，倘若重要業(yè)務(wù)與高危端口沒(méi)有配置適當(dāng)?shù)姆雷o(hù)策略，則會(huì)給黑客可乘之機(jī)，引發(fā)暴力破解、漏洞利用、遠(yuǎn)程控制甚至主機(jī)失陷. 根據(jù)騰訊云服務(wù)器失陷的全部工單中統(tǒng)計(jì)到，90%以上都是由于公網(wǎng)IP的高危端口直接在互聯(lián)網(wǎng)開(kāi)放，引發(fā)機(jī)器被暴力破解非法登錄
因此，對(duì)于騰訊云公有云的用戶來(lái)說(shuō)，通過(guò)NAT網(wǎng)關(guān)設(shè)備來(lái)收斂業(yè)務(wù)在互聯(lián)網(wǎng)的暴露是一種很好的網(wǎng)絡(luò)規(guī)劃，隨后通過(guò)云防火墻的互聯(lián)網(wǎng)邊界防火墻，可以對(duì)NAT網(wǎng)關(guān)對(duì)外暴露的公網(wǎng)IP進(jìn)行防護(hù)。

但是，對(duì)于使用了NAT網(wǎng)關(guān)的用戶來(lái)說(shuō)，定位和排障又是一個(gè)很棘手的問(wèn)題，我給大家講一個(gè)真實(shí)案例，某用戶通過(guò)互聯(lián)網(wǎng)邊界防火墻檢測(cè)到惡意域名訪問(wèn)的安全事件，意味著大概率存在失陷的云服務(wù)器，但由于NAT技術(shù)隱藏了內(nèi)網(wǎng)地址，使得用戶無(wú)法通過(guò)告警的公網(wǎng)IP與端口定位到具體的內(nèi)網(wǎng)IP，當(dāng)NAT網(wǎng)關(guān)關(guān)聯(lián)了較多云服務(wù)器資源時(shí)（該用戶的NAT網(wǎng)關(guān)下掛載了200多臺(tái)云服務(wù)器），需要用戶手動(dòng)一一排查，實(shí)際執(zhí)行下來(lái)操作成本非常高。
由于部署位置相同，傳統(tǒng)網(wǎng)絡(luò)中往往會(huì)將防火墻設(shè)備與NAT軟件結(jié)合，經(jīng)過(guò)幾十年的發(fā)展，市面上成熟的防火墻設(shè)備往往都自帶NAT的能力，為了解決上面提到的問(wèn)題，我們?cè)谌ツ?月推出了NAT邊界防火墻，通過(guò)云防火墻原生的地址轉(zhuǎn)換能力，提供地址映射關(guān)系，一來(lái)可以允許用戶直接通過(guò)內(nèi)網(wǎng)IP管控流量與訪問(wèn)控制，進(jìn)行云服務(wù)器顆粒度的主動(dòng)外聯(lián)管控，另一方面也可以幫助用戶在告警中定位到具體的云服務(wù)器。

三、2.0時(shí)代的NAT邊界防火墻：接入模式
NAT邊界防火墻發(fā)布半年多以來(lái)，其穩(wěn)定性和安全能力受到用戶的廣泛認(rèn)可，但是由于其NAT能力與NAT網(wǎng)關(guān)是重復(fù)的，需要用戶切換網(wǎng)絡(luò)且變更出口IP，意味著需要同步修改所有業(yè)務(wù)單元與分支機(jī)構(gòu)的安全策略，因此對(duì)于部分客戶而言NAT邊界防火墻的使用成本是難以接受的。
其實(shí)在去年6月發(fā)布NAT邊界防火墻的時(shí)候，我們團(tuán)隊(duì)內(nèi)部就深刻預(yù)感到可能產(chǎn)生的問(wèn)題和挑戰(zhàn)，早在半年前我們就開(kāi)始設(shè)計(jì)并預(yù)研新的產(chǎn)品模式以應(yīng)對(duì)上述問(wèn)題，今天終于可以宣告大家，云防火墻2.1.0版本對(duì)NAT邊界防火墻進(jìn)行了重大改良與升級(jí)——全新支持接入模式 將云防火墻資源插入到NAT網(wǎng)關(guān)與云服務(wù)器之間，既能提供精細(xì)的安全防護(hù)能力，同時(shí)也無(wú)需用戶更改網(wǎng)絡(luò)配置：

? 創(chuàng)建NAT邊界防火墻實(shí)例，選擇接入模式
? 選擇需要接入的NAT網(wǎng)關(guān)，系統(tǒng)會(huì)自動(dòng)分配資源將NAT邊界防火墻資源配置在云服務(wù)器與NAT網(wǎng)關(guān)之間
? 在體驗(yàn)上保持了一貫的即開(kāi)即用，開(kāi)啟開(kāi)關(guān)后，自動(dòng)下發(fā)路由策略與端口轉(zhuǎn)發(fā)規(guī)則，實(shí)現(xiàn)網(wǎng)絡(luò)流量透明切換
? 支持訪問(wèn)控制、入侵防御、安全基線等安全策略
? 支持資產(chǎn)可視化
? 支持告警可視化
?支持流量可視化，留存6個(gè)月流量日志

四、ONE MORE THING
這次版本升級(jí)也提供了NAT邊界防火墻的擴(kuò)容能力，用戶可以根據(jù)自身業(yè)務(wù)的流量大小，動(dòng)態(tài)調(diào)整NAT邊界防火墻的帶寬，從而提升使用效率，節(jié)約成本
? 較小范圍調(diào)整：無(wú)需任何網(wǎng)絡(luò)抖動(dòng)
? 較大范圍調(diào)整：僅1-2秒網(wǎng)絡(luò)抖動(dòng)，支持會(huì)話復(fù)制，業(yè)務(wù)基本無(wú)感知
? 支持縮容釋放，當(dāng)業(yè)務(wù)高峰期過(guò)去，可以通過(guò)縮容降低帶寬，釋放資源空間
以上就是騰訊云防火墻2.1.0 版本的主要更新內(nèi)容，NAT邊界防火墻作為云上主動(dòng)外聯(lián)管控的一大利器將會(huì)持續(xù)的得到演進(jìn)與優(yōu)化，其中包含一些我們正在進(jìn)行的工作，在未來(lái)一定會(huì)有更COOL的事情發(fā)生!

優(yōu)惠第一步：點(diǎn)擊下面網(wǎng)址成為深圳市時(shí)魚(yú)科技有限公司代理客戶：
https://partner.cloud.tencent.com/invitation/1000111464505d5b911f269c3 確定成為深圳市時(shí)魚(yú)科技有限公司騰訊云代理客戶。
優(yōu)惠第二步：咨詢客服確認(rèn)價(jià)格，聯(lián)系在線客服領(lǐng)取優(yōu)惠券和代金券后以及優(yōu)惠活動(dòng)的價(jià)格后，并用剛才關(guān)聯(lián)好的騰訊云官方賬號(hào)提交優(yōu)惠訂單，專業(yè)技術(shù)人員免費(fèi)協(xié)助選擇配置。

時(shí)魚(yú)科技騰訊云代理商優(yōu)惠折扣說(shuō)明：
同時(shí)與騰訊云官方優(yōu)惠活動(dòng)疊加：優(yōu)惠活動(dòng)相當(dāng)于折上折，買一年83折，買2年7折，買3年5折，聯(lián)系在線客服有驚喜。

騰訊云代理商，時(shí)魚(yú)科技專注做騰訊云代理，服務(wù)多家上市企業(yè)以及萬(wàn)家中小企業(yè)，經(jīng)過(guò)專業(yè)認(rèn)證的技術(shù)團(tuán)隊(duì)提供免費(fèi)技術(shù)資訊服務(wù)。
我們支持騰訊云服務(wù)器，騰訊云數(shù)據(jù)庫(kù)，騰訊云大禹高防，騰訊云主機(jī)，騰訊云CDN，騰訊云點(diǎn)播，騰訊云waf，企業(yè)郵箱等全部騰訊云產(chǎn)品。

原文出處及轉(zhuǎn)載信息見(jiàn)文內(nèi)詳細(xì)說(shuō)明，如有侵權(quán)，請(qǐng)聯(lián)系gyl@szsipu.com 刪除。