阿里云云防火墙是一款云平台SaaS(Software as a Service)化的防火墙,可针对您云上网络资产的互联网边界、VPC边界及主机边界实现三位一体的统一安全隔离管控,是您业务上云的第一道网络防线。
云防火墙定位全景图
功能概述
互联网边界防火墙
互联网边界防火墙作用于互联网边界,对所有公网资产进出流量统一管控防护。您可以使用互联网边界防火墙,精细化管控业务公网资产出入互联网的访问流量,减少公网资产在互联网的暴露面,降低业务流量的安全风险。互联网边界防火墙内置威胁入侵防御模块,支持失陷主机检测、主动外联行为的阻断、业务访问关系可视等功能。互联网边界防火墙支持一键开启防护,无需复杂的网络接入配置和镜像文件安装,使用集群化部署方式,支持性能平滑扩展。
NAT边界防火墙
VPC内资源(例如ECS、ECI等)通过NAT网关直接访问互联网时,可能存在未经授权的访问、数据泄露、恶意流量攻击等安全风险。为了降低这些风险,您可以开启NAT边界防火墙,利用云防火墙来拦截未授权的流量访问。
VPC边界防火墙
VPC边界防火墙帮助您检测和管控通过云企业网的企业版转发路由器、基础版转发路由器以及高速通道打通的专有网络VPC之间、VPC和本地数据中心之间的东西向流量,实现云上跨VPC之间、VPC与本地数据中心(VBR)、VPC到三方云(VBR)、VPC与VPN之间内网访问流量安全。
主机边界防火墙
主机边界防火墙支持托管ECS安全组,对VPC内ECS实例的出入流量进行访问控制。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。同时支持安全组合规检查和安全组微隔离可视化。
防护范围
防护范围 | 说明 | 相关文档 |
防护的云资产和流量 | 云防火墙可以防护以下云资产或流量:
说明 由于历史网络架构的原因,少量公网SLB不支持云防火墙引流,推荐您采用私网SLB加EIP的方案,将流量牵引到云防火墙上进行防护。 | |
支持的云网络类型 |
| - |
支持的地域 | 云防火墙支持的地域信息。 |
版本介绍
云防火墙提供免费版、按量版、高级版、企业版和旗舰版,以下为您介绍不同版本的主要区别。关于各版本具体的防护能力,请参见功能特性。
版本名称 | 能力说明 | 付费模式 |
免费版 | 云防火墙免费版提供基础的安全检查能力,可进行安全组检查、等保合规检测、资产异常情况通知服务。 | 当您的阿里云账号下存在可防护的云资产时,云防火墙免费版即可为您提供服务,无需购买。 |
按量版 | 云防火墙按量版支持防护公网资产,具备云上网络攻击感知概览、互联网访问控制策略配置、攻击防护、资产异常情况通知等能力,可以为公网资产提供可靠的安全防护。 | 按量付费模式,即先使用后付费的计费方式。 按量付费具有随时购买、随时升级、随时释放的特性,适用于业务用量变化频繁、资源使用有临时性和突发性等场景。 说明 云防火墙按量版支持搭配云防火墙按量节省套餐包使用,您可以通过承诺在一定期限内消费一定的金额,来换取较低的按量付费折扣。更多信息,请参见按量节省套餐包。 |
高级版 | 云防火墙高级版支持防护公网资产,具备云上网络流量分析防护、互联网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。 | 包年包月模式,即先付费后使用的计费方式。 相比于按量付费模式,包年包月可以提前预留资源,并且享受更低价格,适用于业务稳定、需要长期使用资源等场景。 |
企业版 | 云防火墙企业版支持防护公网资产、VPC资产和主机资产,具备云上网络流量分析防护、互联网和内网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。 云防火墙企业版覆盖了云防火墙高级版的全部能力,同时提供跨VPC网络安全防御、安全组统一管理与可视化等增值服务。 | |
旗舰版 | 云防火墙旗舰版支持防护公网资产、VPC资产和主机资产,具备云上网络流量分析防护、互联网和内网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。 云防火墙旗舰版覆盖了云防火墙企业版的全部能力,相较于企业版,旗舰版具有更强的防护能力。 |
免费试用
如果您是第一次购买云防火墙,您可以免费试用云防火墙按量版。更多信息,请参见免费试用。
合规认证
云防火墙已通过ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 29151、ISO 27701、BS 10012、CSA STAR、PCI DSS认证。
联系我们
如果您在购买云防火墙时遇到产品功能、产品价格、产品选型等售前问题,或期望试用云防火墙产品,请通过工单联系产品技术专家进行咨询。
相关文档
如果您想了解云防火墙的计费内容,请参见计费概述。
如果您想快速了解并体验云防火墙的能力,请参见按量版新手引导、云防火墙产品选型指导、包年包月新手引导。