云防火墙产品介绍_云防火墙(Cloud Firewall)-阿里云帮助中心

阿里云云防火墙是一款云平台SaaS（Software as a Service）化的防火墙，可针对您云上网络资产的互联网边界、VPC边界及主机边界实现三位一体的统一安全隔离管控，是您业务上云的第一道网络防线。

云防火墙定位全景图

功能概述

互联网边界防火墙

互联网边界防火墙作用于互联网边界，对所有公网资产进出流量统一管控防护。您可以使用互联网边界防火墙，精细化管控业务公网资产出入互联网的访问流量，减少公网资产在互联网的暴露面，降低业务流量的安全风险。互联网边界防火墙内置威胁入侵防御模块，支持失陷主机检测、主动外联行为的阻断、业务访问关系可视等功能。互联网边界防火墙支持一键开启防护，无需复杂的网络接入配置和镜像文件安装，使用集群化部署方式，支持性能平滑扩展。

NAT边界防火墙

VPC内资源（例如ECS、ECI等）通过NAT网关直接访问互联网时，可能存在未经授权的访问、数据泄露、恶意流量攻击等安全风险。为了降低这些风险，您可以开启NAT边界防火墙，利用云防火墙来拦截未授权的流量访问。

VPC边界防火墙

VPC边界防火墙帮助您检测和管控通过云企业网的企业版转发路由器、基础版转发路由器以及高速通道打通的专有网络VPC之间、VPC和本地数据中心之间的东西向流量，实现云上跨VPC之间、VPC与本地数据中心（VBR）、VPC到三方云（VBR）、VPC与VPN之间内网访问流量安全。

主机边界防火墙

主机边界防火墙支持托管ECS安全组，对VPC内ECS实例的出入流量进行访问控制。主机边界防火墙的访问控制策略发布后，会自动同步到ECS安全组并生效。同时支持安全组合规检查和安全组微隔离可视化。

防护范围

防护范围	说明	相关文档
防护的云资产和流量	云防火墙可以防护以下云资产或流量：互联网边界防火墙（南北向）：ECS公网IP、ECS EIP、ECS IPv6、CLB公网IP、CLB EIP、ALB EIP、NLB EIP、SLB IPv6、EIP（含L2 EIP）、ENI EIP、NAT EIP、HaVip EIP、GA EIP、堡垒机IP资产等。其中，GA EIP有以下限制：该加速IP所属GA实例必须为标准型实例。加速IP类型必须为弹性公网IP类型。该加速IP所属加速地域不能为阿里云POP点。查看加速地域是否为阿里云POP点，请参见ListAvailableBusiRegions。 NAT边界防火墙：私网访问公网的流量。 VPC边界防火墙（东西向）：企业版转发路由器的VPC边界防火墙同地域多个专有网络VPC（Virtual Private Cloud）互访的流量。通过企业版转发路由器TR（Transit Router）实现跨地域多个VPC互访的流量。 VPC和边界路由器VBR（Virtual Border Router）互访的流量（即VPC和本地数据中心IDC互访的流量）。 VPC和云连接网CCN（Cloud Connect Network）互访的流量。多个VBR互访的流量。 CCN和VBR互访的流量。基础版转发路由器的VPC边界防火墙同地域多个专有网络VPC（Virtual Private Cloud）互访的流量。通过基础版转发路由器TR（Transit Router）实现跨地域多个VPC互访的流量。 VPC和边界路由器VBR（Virtual Border Router）互访的流量（即VPC和本地数据中心IDC互访的流量）。 VPC和云连接网CCN（Cloud Connect Network）互访的流量。高速通道VPC边界防火墙高速通道连接专有网络VPC（Virtual Private Cloud）模式下，同账号同地域多个VPC互访的流量。 VPC对等连接模式下，同地域多个VPC互访的流量。主机边界防火墙：对ECS实例的出入流量进行访问控制。说明由于历史网络架构的原因，少量公网SLB不支持云防火墙引流，推荐您采用私网SLB加EIP的方案，将流量牵引到云防火墙上进行防护。	互联网边界防火墙 NAT边界防火墙配置企业版转发路由器的VPC边界防火墙配置基础版转发路由器的VPC边界防火墙配置高速通道VPC边界防火墙配置主机边界访问控制策略
支持的云网络类型	VPC网络：全面支持阿里云VPC网络。经典网络：互联网边界防火墙和威胁入侵检测（IPS）功能支持防护经典网络。主机边界防火墙支持防护VPC间的流量，不支持防护经典网络。	-
支持的地域	云防火墙支持的地域信息。	支持的地域

版本介绍

云防火墙提供免费版、按量版、高级版、企业版和旗舰版，以下为您介绍不同版本的主要区别。关于各版本具体的防护能力，请参见功能特性。

版本名称	能力说明	付费模式
免费版	云防火墙免费版提供基础的安全检查能力，可进行安全组检查、等保合规检测、资产异常情况通知服务。	当您的阿里云账号下存在可防护的云资产时，云防火墙免费版即可为您提供服务，无需购买。
按量版	云防火墙按量版支持防护公网资产，具备云上网络攻击感知概览、互联网访问控制策略配置、攻击防护、资产异常情况通知等能力，可以为公网资产提供可靠的安全防护。	按量付费模式，即先使用后付费的计费方式。按量付费具有随时购买、随时升级、随时释放的特性，适用于业务用量变化频繁、资源使用有临时性和突发性等场景。说明云防火墙按量版支持搭配云防火墙按量节省套餐包使用，您可以通过承诺在一定期限内消费一定的金额，来换取较低的按量付费折扣。更多信息，请参见按量节省套餐包。
高级版	云防火墙高级版支持防护公网资产，具备云上网络流量分析防护、互联网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。	包年包月模式，即先付费后使用的计费方式。相比于按量付费模式，包年包月可以提前预留资源，并且享受更低价格，适用于业务稳定、需要长期使用资源等场景。
企业版	云防火墙企业版支持防护公网资产、VPC资产和主机资产，具备云上网络流量分析防护、互联网和内网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。云防火墙企业版覆盖了云防火墙高级版的全部能力，同时提供跨VPC网络安全防御、安全组统一管理与可视化等增值服务。
旗舰版	云防火墙旗舰版支持防护公网资产、VPC资产和主机资产，具备云上网络流量分析防护、互联网和内网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。云防火墙旗舰版覆盖了云防火墙企业版的全部能力，相较于企业版，旗舰版具有更强的防护能力。

免费试用

如果您是第一次购买云防火墙，您可以免费试用云防火墙按量版。更多信息，请参见免费试用。

合规认证

云防火墙已通过ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 29151、ISO 27701、BS 10012、CSA STAR、PCI DSS认证。

联系我们

如果您在购买云防火墙时遇到产品功能、产品价格、产品选型等售前问题，或期望试用云防火墙产品，请通过工单联系产品技术专家进行咨询。