云防火墙在阿里云网络中的位置

云防火墙有3个控制单元:

  • 互联网边界防火墙, 部署于EIP的前面(即EIP出互联网方向的第一个防护节点),对公网EIP进行控制(高级版)。
  • VPC边界防火墙,部署于VPC和VPC间的边界,对ECS的私网地址进行控制(旗舰版)。
  • 主机防火墙,即安全组, 云防火墙支持通过API统一向安全组下发策略(企业版)。

下图展示了部分阿里云产品(包括云防火墙)的逻辑关系。

阿里云产品逻辑关系

同WAF、高防等安全产品同时使用

与WAF、高防等安全产品同时使用如上图所示。云防火墙防护的是WAF和高防的源站IP。

同CDN产品同时使用

与CDN产品同时使用时,云防火墙防护的是源站IP。

同OSS、RDS等产品同时使用

目前云防火墙不支持OSS、RDS等SaaS化的产品。如果您使用的是在ECS上自建的RDS服务,则可以通过VPC边界防火墙来实现对自建RDS的防护。详细内容请参见VPC边界防火墙访问控制

同SLB同时使用

阿里云提供公网和私网两种类型的负载均衡(SLB)服务。由于历史网络架构的原因,云防火墙目前只支持部分公网SLB的防护,因此推荐您采用EIP+私网类型SLB的方案。详细内容请参见绑定EIP