阿里云云防火墙是一款云平台SaaS(Software as a Service)化的防火墙,可针对您云上网络资产的互联网边界、VPC边界及主机边界实现三位一体的统一安全隔离管控,是您业务上云的第一道网络防线。

三种云防火墙介绍

云防火墙是互联网边界防火墙、VPC边界防火墙、主机边界防火墙的统称,为您提供互联网、虚拟网络、主机三种边界防护。

互联网边界防火墙作用于互联网边界,对所有公网IP统一管控;主机防火墙对应安全组,对ECS间通信进行管控。互联网边界防火墙和主机边界防火墙原理图和位置如下:防火墙原理
VPC边界防火墙作用于VPC边界,对高速通道流量进行管控。VPC边界防火墙原理图和位置如下:VPC防火墙原理
三种防火墙配合使用,可以精细化地管控数据访问行为,同时也组成了互联网边界-虚拟网络边界-主机边界三层纵深防御体系:
  • 对于需要精细化访问控制的需求,云防火墙提供集中式的访问控制,也就是内对外、外对内访问控制策略,提供了应用、域名等精细化访问控制策略,并可以统一管控所有VPC、所有区域,并提供观察模式、地址簿等优化策略配置功能,配置相对简单。
  • 对于微隔离的访问控制需求,云防火墙提供分布式的访问控制,目前底层利用的是安全组能力,同时提供所有内部流量的可视能力,帮助您优化内对内策略。后续会提供策略的观察模式、拦截访问分析、智能策略等能力。

根据网络边界配置防火墙,便于逻辑分层,同时也方便后续维护。如您只有公网防护需求,就只需要在互联网边界防火墙处配置南北向策略(即内对外或外对内访问控制策略)。如果同时有主机防护需求,可以在主机边界防火墙处配置东西向策略(即策略组访问控制策略)。

云防火墙支持防护的范围

云防火墙可以防护以下云资产或流量:
  • 互联网方向:ECS公网IP、SLB EIP、SLB公网IP、HAVIP、EIP、ECS EIP、ENI EIP、NAT EIP。
  • VPC到VPC之间:已使用云企业网或高速通道实现两个VPC之间的互通。
  • VPC和本地数据中心(IDC)之间:已使用VBR实现VPC和IDC之间互通。

合规认证

云防火墙已通过ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 29151、ISO 27701、BS 10012、CSA STAR、PCI DSS认证。

产品介绍视频

联系我们

如果您在购买云防火墙时遇到产品功能、产品价格、产品选型等售前问题,或期望试用云防火墙产品,请加入钉群(钉群号:33081734),联系产品技术专家进行咨询。