騰訊云防火墻 2.1.0 版本正式發(fā)布！
大家好，我是騰訊云防火墻的產(chǎn)品經(jīng)理jojen，又見面了，今天在這里和大家聊一聊NAT邊界防火墻
一、什么是NAT技術(shù)
首先，作為網(wǎng)絡工程或網(wǎng)絡安全從業(yè)人員，大家可能都知道，隨著互聯(lián)網(wǎng)產(chǎn)業(yè)的蓬勃發(fā)展，當前全球網(wǎng)絡設備的數(shù)量到2021年將達到全球人口數(shù)量的三倍以上，已經(jīng)遠遠超出目前我們使用的IPv4地址的總數(shù)，如果所有設備同時上網(wǎng)，就會導致IP地址不夠用的情況，那么互聯(lián)網(wǎng)先驅(qū)者們?nèi)绾谓鉀Q這個問題的呢？—— 一是使用更大地址空間的IPv6地址(這個我們留到以后專門來討論), 另一個就是通過網(wǎng)絡地址轉(zhuǎn)換技術(shù)實現(xiàn)地址復用，也就是我們今天要討論的NAT技術(shù)。
NAT技術(shù)通過將內(nèi)網(wǎng)IP地址轉(zhuǎn)換成公網(wǎng)IP地址與互聯(lián)網(wǎng)的其他公網(wǎng)IP進行通信，這樣一來，多個設備可以通過分享端口的形式，復用同一個公網(wǎng)IP上網(wǎng)，便可以解決IP地址不夠用的問題，這種設計類似于全球電話系統(tǒng)的分機號機制。
那么NAT這種技術(shù)在網(wǎng)絡安全當中又有什么應用和缺點呢？

二、NAT邊界防火墻
首先，通過NAT技術(shù)，可以很好地實現(xiàn)互聯(lián)網(wǎng)暴露面的梳理與收斂，我們從騰訊云真實流量感知與分析當中發(fā)現(xiàn)，公網(wǎng)IP一旦暴露在互聯(lián)網(wǎng)中，則會遭受黑客組織無時無刻的掃描攻擊與探測，倘若重要業(yè)務與高危端口沒有配置適當?shù)姆雷o策略，則會給黑客可乘之機，引發(fā)暴力破解、漏洞利用、遠程控制甚至主機失陷. 根據(jù)騰訊云服務器失陷的全部工單中統(tǒng)計到，90%以上都是由于公網(wǎng)IP的高危端口直接在互聯(lián)網(wǎng)開放，引發(fā)機器被暴力破解非法登錄
因此，對于騰訊云公有云的用戶來說，通過NAT網(wǎng)關(guān)設備來收斂業(yè)務在互聯(lián)網(wǎng)的暴露是一種很好的網(wǎng)絡規(guī)劃，隨后通過云防火墻的互聯(lián)網(wǎng)邊界防火墻，可以對NAT網(wǎng)關(guān)對外暴露的公網(wǎng)IP進行防護。

但是，對于使用了NAT網(wǎng)關(guān)的用戶來說，定位和排障又是一個很棘手的問題，我給大家講一個真實案例，某用戶通過互聯(lián)網(wǎng)邊界防火墻檢測到惡意域名訪問的安全事件，意味著大概率存在失陷的云服務器，但由于NAT技術(shù)隱藏了內(nèi)網(wǎng)地址，使得用戶無法通過告警的公網(wǎng)IP與端口定位到具體的內(nèi)網(wǎng)IP，當NAT網(wǎng)關(guān)關(guān)聯(lián)了較多云服務器資源時（該用戶的NAT網(wǎng)關(guān)下掛載了200多臺云服務器），需要用戶手動一一排查，實際執(zhí)行下來操作成本非常高。
由于部署位置相同，傳統(tǒng)網(wǎng)絡中往往會將防火墻設備與NAT軟件結(jié)合，經(jīng)過幾十年的發(fā)展，市面上成熟的防火墻設備往往都自帶NAT的能力，為了解決上面提到的問題，我們在去年6月推出了NAT邊界防火墻，通過云防火墻原生的地址轉(zhuǎn)換能力，提供地址映射關(guān)系，一來可以允許用戶直接通過內(nèi)網(wǎng)IP管控流量與訪問控制，進行云服務器顆粒度的主動外聯(lián)管控，另一方面也可以幫助用戶在告警中定位到具體的云服務器。

三、2.0時代的NAT邊界防火墻：接入模式
NAT邊界防火墻發(fā)布半年多以來，其穩(wěn)定性和安全能力受到用戶的廣泛認可，但是由于其NAT能力與NAT網(wǎng)關(guān)是重復的，需要用戶切換網(wǎng)絡且變更出口IP，意味著需要同步修改所有業(yè)務單元與分支機構(gòu)的安全策略，因此對于部分客戶而言NAT邊界防火墻的使用成本是難以接受的。
其實在去年6月發(fā)布NAT邊界防火墻的時候，我們團隊內(nèi)部就深刻預感到可能產(chǎn)生的問題和挑戰(zhàn)，早在半年前我們就開始設計并預研新的產(chǎn)品模式以應對上述問題，今天終于可以宣告大家，云防火墻2.1.0版本對NAT邊界防火墻進行了重大改良與升級——全新支持接入模式 將云防火墻資源插入到NAT網(wǎng)關(guān)與云服務器之間，既能提供精細的安全防護能力，同時也無需用戶更改網(wǎng)絡配置：

? 創(chuàng)建NAT邊界防火墻實例，選擇接入模式
? 選擇需要接入的NAT網(wǎng)關(guān)，系統(tǒng)會自動分配資源將NAT邊界防火墻資源配置在云服務器與NAT網(wǎng)關(guān)之間
? 在體驗上保持了一貫的即開即用，開啟開關(guān)后，自動下發(fā)路由策略與端口轉(zhuǎn)發(fā)規(guī)則，實現(xiàn)網(wǎng)絡流量透明切換
? 支持訪問控制、入侵防御、安全基線等安全策略
? 支持資產(chǎn)可視化
? 支持告警可視化
?支持流量可視化，留存6個月流量日志

四、ONE MORE THING
這次版本升級也提供了NAT邊界防火墻的擴容能力，用戶可以根據(jù)自身業(yè)務的流量大小，動態(tài)調(diào)整NAT邊界防火墻的帶寬，從而提升使用效率，節(jié)約成本
? 較小范圍調(diào)整：無需任何網(wǎng)絡抖動
? 較大范圍調(diào)整：僅1-2秒網(wǎng)絡抖動，支持會話復制，業(yè)務基本無感知
? 支持縮容釋放，當業(yè)務高峰期過去，可以通過縮容降低帶寬，釋放資源空間
以上就是騰訊云防火墻2.1.0 版本的主要更新內(nèi)容，NAT邊界防火墻作為云上主動外聯(lián)管控的一大利器將會持續(xù)的得到演進與優(yōu)化，其中包含一些我們正在進行的工作，在未來一定會有更COOL的事情發(fā)生!

優(yōu)惠第一步：點擊下面網(wǎng)址成為深圳市時魚科技有限公司代理客戶：
https://partner.cloud.tencent.com/invitation/1000111464505d5b911f269c3 確定成為深圳市時魚科技有限公司騰訊云代理客戶。
優(yōu)惠第二步：咨詢客服確認價格，聯(lián)系在線客服領(lǐng)取優(yōu)惠券和代金券后以及優(yōu)惠活動的價格后，并用剛才關(guān)聯(lián)好的騰訊云官方賬號提交優(yōu)惠訂單，專業(yè)技術(shù)人員免費協(xié)助選擇配置。

時魚科技騰訊云代理商優(yōu)惠折扣說明：
同時與騰訊云官方優(yōu)惠活動疊加：優(yōu)惠活動相當于折上折，買一年83折，買2年7折，買3年5折，聯(lián)系在線客服有驚喜。

騰訊云代理商，時魚科技專注做騰訊云代理，服務多家上市企業(yè)以及萬家中小企業(yè)，經(jīng)過專業(yè)認證的技術(shù)團隊提供免費技術(shù)資訊服務。
我們支持騰訊云服務器，騰訊云數(shù)據(jù)庫，騰訊云大禹高防，騰訊云主機，騰訊云CDN，騰訊云點播，騰訊云waf，企業(yè)郵箱等全部騰訊云產(chǎn)品。

原文出處及轉(zhuǎn)載信息見文內(nèi)詳細說明，如有侵權(quán)，請聯(lián)系gyl@szsipu.com 刪除。