云防火墙(Cloud Firewall)是您云上业务的安全屏障,可有效防护来自网络上的风险攻击,同时为您提供配置网络安全策略的能力。
云上企业级数据中心的网络安全管控
针对企业业务上云,在云上构建大型数据中心等业务场景,云防火墙可以帮助您防护云上数据的安全,支持对全网流量深度分析、并对互联网上全方位的恶意流量进行攻击防护,提供自定义的访问控制策略。
互联网边界防火墙
互联网边界防火墙作用于互联网边界,对所有公网资产进出流量统一管控防护。您可以使用互联网边界防火墙,精细化管控业务公网资产出入互联网的访问流量,减少公网资产在互联网的暴露面,降低业务流量的安全风险。
NAT边界防火墙
VPC内资源(例如ECS、ECI等)通过NAT网关直接访问互联网时,可能存在未经授权的访问、数据泄露、恶意流量攻击等安全风险。为了降低这些风险,您可以开启NAT边界防火墙,利用云防火墙来拦截未授权的流量访问。
VPC边界防火墙
VPC边界防火墙帮助您检测和管控通过企业版转发路由器、基础版转发路由器以及高速通道打通的专有网络VPC之间、VPC和本地数据中心之间的东西向流量,实现云上跨VPC之间、VPC与本地数据中心(VBR)、VPC到三方云(VBR)、VPC与VPN之间内网访问流量安全。
主机边界防火墙
主机边界防火墙支持托管ECS安全组,对VPC内ECS实例的出入流量进行访问控制。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。同时支持安全组合规检查和安全组微隔离可视化。
混合云(IDC+云上)业务或DMZ上云的高级防护
云防火墙提供了全面的流量防护功能,其中包括对DMZ南北向的流量防护,以及对IDC与VPC间的东西向流量进行防护,能够有效保障您的线下IDC与云上资产之间的流量,同时保障混合云业务的安全互通。此外,当业务的DMZ部署在云上时,云防火墙同样能确保其与线下IDC之间流量的安全性。
多账号统一管控场景安全防护
为了解决多账号资源安全管控和降低安全运维成本,云防火墙结合资源目录服务,为用户提供了多账号统一管理方案。只需开启多账号统一管理,用户即可在云防火墙控制台集中保护多个账号的资源安全,大幅提升安全运维效率和降低采购成本。云防火墙不仅提供了跨账号统一安全策略配置的功能,用户可以在一个统一的控制台上配置和管理安全策略,无需逐个账号进行配置,而且还支持跨账号集中管控VPC的流量安全。通过一个统一的入口,用户可以监控和管理各个账号下VPC的流量,实现全面保护多重网络边界安全。
重保等强对抗场景的安全防护
云防火墙能够通过批量封禁IP或域名、对攻击者进行溯源反击、有效防止零日漏洞攻击等来满足您特殊业务时期的重保需求、以及对安全强对抗的需求等。
满足等级保护或安全内审等合规
南北向和东西向流量访问控制
部署云防火墙实现南北向和东西向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。
部署云防火墙实现统一管理互联网到业务的南北向访问策略和业务与业务之间的东西向微隔离策略,达到协议、端口、地域、应用级访问控制粒度。
您需要根据业务部署云防火墙实现策略命中计数功能,确保没有冗余的策略。云防火墙访问控制策略可配置优先级,您可以根据业务需求优化访问控制列表。
部署云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。
部署云防火墙实现状态级对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。
部署云防火墙实现跨VPC数据流的应用协议、内容的访问控制。
针对恶意流量的入侵防御机制
部署云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。
部署云防火墙实现出方向流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。
部署云防火墙结合威胁情报和智能引擎等对云上进出网络的恶意流量进行实时检测与阻断,支持防御挖矿蠕虫等新型网络攻击,并通过积累大量恶意攻击样本,形成精准防御规则。云防火墙入侵检测功能支持发现挖矿蠕虫感染事件。
部署云防火墙实现攻击行为的检测和记录,提供网络阻断功能,记录风险级别、事件名称、防御状态、源IP、目的IP、方向、判断来源、发生时间和动作。
部署云防火墙实现网络恶意代码攻击的检测和防护,并定期实时在线更新恶意代码检测规则。
针对威胁事件提供日志溯源能力
部署云防火墙利用日志审计模块记录所有流量日志、事件日志和操作日志。
部署云防火墙实现日志记录事件被扫描到的时间、威胁类型、进出方向、源IP和目的IP、应用类型、严重性等级以及动作状态等信息。
部署云防火墙实现日志分析功能,依托日志服务产品,存储日志数据,并提供实时日志分析能力。
具体信息,请参见等保合规能力说明。