本文档介绍了云防火墙和安全组的主要差异。

安全组是ECS提供的用于设置ECS实例间访问控制的虚拟主机防火墙,是一种分布式的防火墙。

云防火墙是互联网边界防火墙、VPC边界防火墙、主机边界防火墙的统称,为用户提供互联网、虚拟网络、主机三种边界防护。

云防火墙相对安全组的独有功能

  • 支持应用级别的访问控制。例如:可以配置HTTP协议放通,其HTTP服务可以运行在任意端口。
  • 支持域名级别的访问控制。例如:可以配置只允许所有ECS到*.aliyun.com的请求。
  • 支持地址簿,可以将一组IP、端口或者具有相同标签的ECS配置为一个地址簿,方便用户进行配置。
  • 提供IPS功能,支持常见系统漏洞防护。
  • 支持暴力破解防护。
  • 提供观察模式,并提供完整流日志,分析阻断数据。

云防火墙相对安全组的增强功能

云防火墙的主机防火墙底层使用了安全组的能力。用户既可以在云防火墙 > 主机防火墙处配置策略也可以在ECS安全组控制台配置策略,两者配置自动保持同步。云防火墙相对安全组提供了一些增强功能:

  • 支持策略的批量发布。
  • 支持策略组初始模板。
  • 同应用组配合,自动创建安全组。
  • 支持组内ECS实例间默认不通。

为什么会有三种云防火墙

云防火墙是互联网边界防火墙、VPC边界防火墙、主机边界防火墙的统称,为用户提供互联网、虚拟网络、主机三种边界防护。

互联网边界防火墙作用于互联网边界,对所有公网IP统一管控;主机防火墙对应安全组,对ECS间通信进行管控。互联网边界防火墙/主机防火墙原理图和位置如下:



VPC边界防火墙作用于VPC边界,对高速通道流量进行管控。VPC边界防火墙原理图和位置如下:



三种防火墙配合使用,可以让用户精细化地管控数据访问行为,同时也组成了互联网边界-虚拟网络边界-主机边界三层纵深防御体系:

  • 对于需要精细化访问控制的需求,云防火墙提供集中式的访问控制,也就是内对外、外对内访问控制策略,提供了应用、域名等精细化访问控制策略,并可以统一管控所有VPC、所有区域,并提供观察模式、地址簿等优化策略配置功能,配置相对简单。
  • 对于微隔离的访问控制需求,云防火墙提供分布式的访问控制,目前底层利用的是安全组能力,同时提供所有内部流量的可视能力,帮助用户优化内对内策略。后续会提供策略的观察模式、拦截访问分析、智能策略等能力。

根据网络边界配置防火墙,便于逻辑分层,同时也方便后续维护。如用户只有公网防护需求,就只需要在互联网边界防火墙处配置南北向策略(即内-外或外-内访问控制策略)。如果同时有主机防护需求,可以在主机防火墙处只配置东西向策略(即内-内访问控制策略)。