什么是云防火墙

阿里云云防火墙是一款云平台SaaS(Software as a Service)化的防火墙,可针对您云上网络资产的互联网边界、VPC边界及主机边界实现三位一体的统一安全隔离管控,是您业务上云的第一道网络防线。

云防火墙定位全景图

image

功能概述

互联网边界防火墙

互联网边界防火墙作用于互联网边界,对所有公网资产进出流量统一管控防护。您可以使用互联网边界防火墙,精细化管控业务公网资产出入互联网的访问流量,减少公网资产在互联网的暴露面,降低业务流量的安全风险。互联网边界防火墙内置威胁入侵防御模块,支持失陷主机检测、主动外联行为的阻断、业务访问关系可视等功能。互联网边界防火墙支持一键开启防护,无需复杂的网络接入配置和镜像文件安装,使用集群化部署方式,支持性能平滑扩展。

NAT边界防火墙

VPC内资源(例如ECS、ECI等)通过NAT网关直接访问互联网时,可能存在未经授权的访问、数据泄露、恶意流量攻击等安全风险。为了降低这些风险,您可以开启NAT边界防火墙,利用云防火墙来拦截未授权的流量访问。

VPC边界防火墙

VPC边界防火墙帮助您检测和管控通过云企业网的企业版转发路由器、基础版转发路由器以及高速通道打通的专有网络VPC之间、VPC和本地数据中心之间的东西向流量,实现云上跨VPC之间、VPC与本地数据中心(VBR)、VPC到三方云(VBR)、VPC与VPN之间内网访问流量安全。

主机边界防火墙

主机边界防火墙支持托管ECS安全组,对VPC内ECS实例的出入流量进行访问控制。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。同时支持安全组合规检查和安全组微隔离可视化。

防护范围

防护范围

说明

相关文档

防护的云资产和流量

云防火墙可以防护以下云资产或流量:

  • 互联网边界防火墙(南北向):ECS公网IP、ECS EIP、ECS IPv6、CLB公网IP、CLB EIP、ALB EIP、NLB EIP、SLB IPv6、EIP(含L2 EIP)、ENI EIP、NAT EIP、HaVip EIP、堡垒机IP资产等。

  • NAT边界防火墙:私网访问公网的流量。

  • VPC边界防火墙(东西向):

    • 企业版转发路由器的VPC边界防火墙

      • 同地域多个专有网络VPC(Virtual Private Cloud)互访的流量。

      • 通过企业版转发路由器TR(Transit Router)实现跨地域多个VPC互访的流量。

      • VPC和边界路由器VBR(Virtual Border Router)互访的流量(即VPC和本地数据中心IDC互访的流量)。

      • VPC和云连接网CCN(Cloud Connect Network)互访的流量。

      • 多个VBR互访的流量。

      • CCN和VBR互访的流量。

    • 基础版转发路由器的VPC边界防火墙

      • 同地域多个专有网络VPC(Virtual Private Cloud)互访的流量。

      • 通过基础版转发路由器TR(Transit Router)实现跨地域多个VPC互访的流量。

      • VPC和边界路由器VBR(Virtual Border Router)互访的流量(即VPC和本地数据中心IDC互访的流量)。

      • VPC和云连接网CCN(Cloud Connect Network)互访的流量。

    • 高速通道VPC边界防火墙

      • 高速通道连接专有网络VPC(Virtual Private Cloud)模式下,同账号同地域多个VPC互访的流量。

      • VPC对等连接模式下,同地域多个VPC互访的流量。

  • 主机边界防火墙:对ECS实例的出入流量进行访问控制。

说明

由于历史网络架构的原因,少量公网SLB不支持云防火墙引流,推荐您采用私网SLB加EIP的方案,将流量牵引到云防火墙上进行防护。

支持的云网络类型

  • VPC网络:全面支持阿里云VPC网络。

  • 经典网络:互联网边界防火墙和威胁入侵检测(IPS)功能支持防护经典网络。主机边界防火墙支持防护VPC间的流量,不支持防护经典网络。

-

支持的地域

云防火墙支持的地域信息。

支持的地域

版本介绍

云防火墙提供免费版、按量版、高级版、企业版和旗舰版,以下为您介绍不同版本的主要区别。关于各版本具体的防护能力,请参见功能特性

版本名称

能力说明

付费模式

免费版

云防火墙免费版提供基础的安全检查能力,可进行安全组检查、等保合规检测、资产异常情况通知服务。

当您的阿里云账号下存在可防护的云资产时,云防火墙免费版即可为您提供服务,无需购买。

按量版

云防火墙按量版支持防护公网资产,具备云上网络攻击感知概览、互联网访问控制策略配置、攻击防护、资产异常情况通知等能力,可以为公网资产提供可靠的安全防护。

按量付费模式,即先使用后付费的计费方式。

按量付费具有随时购买、随时升级、随时释放的特性,适用于业务用量变化频繁、资源使用有临时性和突发性等场景。

说明

云防火墙按量版支持搭配云防火墙按量节省套餐包使用,您可以通过承诺在一定期限内消费一定的金额,来换取较低的按量付费折扣。更多信息,请参见按量节省套餐包

高级版

云防火墙高级版支持防护公网资产,具备云上网络流量分析防护、互联网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。

包年包月模式,即先付费后使用的计费方式。

相比于按量付费模式,包年包月可以提前预留资源,并且享受更低价格,适用于业务稳定、需要长期使用资源等场景。

企业版

云防火墙企业版支持防护公网资产、VPC资产和主机资产,具备云上网络流量分析防护、互联网和内网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。

云防火墙企业版覆盖了云防火墙高级版的全部能力,同时提供跨VPC网络安全防御、安全组统一管理与可视化等增值服务。

旗舰版

云防火墙旗舰版支持防护公网资产、VPC资产和主机资产,具备云上网络流量分析防护、互联网和内网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。

云防火墙旗舰版覆盖了云防火墙企业版的全部能力,相较于企业版,旗舰版具有更强的防护能力。

免费试用

如果您是第一次购买云防火墙,您可以免费试用云防火墙按量版。更多信息,请参见免费试用

合规认证

云防火墙已通过ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 29151、ISO 27701、BS 10012、CSA STAR、PCI DSS认证。

联系我们

如果您在购买云防火墙时遇到产品功能、产品价格、产品选型等售前问题,或期望试用云防火墙产品,请通过工单联系产品技术专家进行咨询。

相关文档