云防火墙(Cloud Firewall)帮助您在云上实现业务隔离和防护,确保业务安全且满足合规要求。本文介绍如何更好地使用云防火墙为您的业务提供防护保障。
产品选型概述
基于业务类型、网络规模、业务管理等因素的影响,一般企业上云后的安全域处于默认模式,这样就会导致随着业务的发展,业务网络架构变得混乱。例如,开放了不必要的端口发布到互联网、内部通信访问权限太大等。如果业务被恶意入侵,会存在很大的安全隐患。所以需要企业更多的关注云上的安全域规划。
网络安全域类似酒店,每个不同的入住客人可以入住不同的楼层和房间,互不干扰。在实际的IT业务环境中,数据库服务器与供客户访问的Web服务器显然不是一个安全等级,测试环境的服务器与正式提供服务的生产服务器也不是一个安全等级。因此,我们要对相应的业务资产从业务功能、通信关系等方面划分安全域。
通过云防火墙实现云上安全域隔离的防护方案
场景一:防护互联网入向流量安全
防护原则:保证灵活性、弹性伸缩能力和安全性。
配置建议:
配置云防火墙互联网边界防火墙管控公网入向流量。
可选:配置统一隔离区DMZ(Demilitarized Zone)VPC,搭配弹性公网IP(简称EIP)、负载均衡SLB、ECS公网等提供互联网入向连接。
场景二:防护互联网出向流量安全
防护原则:保证灵活性、弹性伸缩能力和安全性。
配置建议:
配置云防火墙互联网边界防火墙和NAT边界防火墙管控公网和私网出向流量。
可选:配置统一隔离区DMZ(Demilitarized Zone)VPC或不同业务VPC,搭配弹性公网IP(简称EIP)、NAT网关等,以提供互联网出向连接。
场景三:防护云上东西向流量安全
防护原则:环境隔离,必要的连通同时保证安全。
配置建议:
配置云企业网,推荐企业版转发路由器,绑定VPC实现云上网络实例互联,或绑定VBR实现跨云互联互访。
配置云防火墙VPC边界防火墙实现云上跨VPC或跨云业务流量安全,包括4~7层访问控制和横向攻击防护和审计溯源。
配置云防火墙主机边界防火墙实现VPC内微隔离。
场景四:防护云上资产与IDC机房互访流量安全
防护原则:云上资产与本地机房互访互通,同时保证安全。
配置建议:
配置云企业网或高速通道,本地IDC机房通过VBR接入云企业网或高速通道与云上VPC业务区实现互访。
配置VPC边界防火墙实现本地IDC机房与云上VPC业务区之间的异常流量监控、4~7层精细化访问控制策略、横向攻击防护、日志审计等。
通过云防火墙实现安全域隔离的组网结构
大型集团
大型集团业务,会将生产网的安全域分为集团安全域、子分公司安全域等。集团安全域又划分为生产网外网区、内网区和生产网DMZ区。生产内网的安全域又会根据业务类型的不同分为普通业务安全域、核心业务安全域、数据库安全域等。
小型公司
小型公司会根据业务类型、功能模块、网络通信关系等维度,划分为普通业务安全、核心业务安全域、数据安全域、DMA安全域(邮件系统、门户网站)等。
云防火墙满足等级保护或安全内审等合规
云防火墙各版本目前可支持等保和内审合规的软件层面要求,包括以下能力:
南北向和东西向流量访问控制
针对恶意流量的入侵防御机制
针对威胁事件提供日志溯源能力
具体信息,请参见等保合规能力说明。
(计费)版本选型参考
在进行云防火墙版本选型之前,您需要了解云防火墙的防护范围,以便您匹配当前业务需求。具体内容,请参见防护范围。
云防火墙的计费分为按量付费(含按量节省套餐包)和包年包月两种形式,其中包年包月又分为高级版、企业版和旗舰版三个版本,每个版本支持的功能、资产、带宽扩展规格不同。根据如下表格说明选择合适的版本。更多信息,请参见功能特性。
选型参考 | 包年包月 | 按量付费版 | 免费版 | |||||
高级版 | 企业版 | 旗舰版 | ||||||
选型参考 | 包年包月 | 按量付费版 | 免费版 | |||||
高级版 | 企业版 | 旗舰版 | ||||||
适用场景 |
|
| 适用于只需要对云资产进行基础安全检查,例如对ECS安全组检查、等保合规检测以及资产异常情况通知。 | |||||
入门级防火墙,帮助中小型企业机构实现云上公网资产出向和入向流量安全保护。 | 中阶防火墙,帮助中大型企业机构实现云上南北向和东西向流量安全保护,全面满足等保合规要求。 | 高阶防火墙,帮助大型和超大型企业机构实现云上南北向和东西向流量安全保护,全面满足等保合规要求。 | ||||||
功能性维度 | 专业防护能力 | 互联网边界防火墙 | 精细化的防护互联网和公网IP(含IPv4和IPv6)资产间的通信流量。 | 支持 | 支持 | 支持 | 支持 | 不支持 |
NAT边界防火墙 | 精细化的防护私网IP资产访问互联网的流量。 | 支持 | 支持 | 支持 | 支持 | 不支持 | ||
VPC边界防火墙 | 精细化的防护跨VPC的流量。 | 不支持 | 支持 | 支持 | 支持 | 不支持 | ||
企业级运维能力 | 流量分析 | 帮助您分析互联网边界、NAT边界和VPC之间的流量。 | 支持 | 支持 | 支持 | 支持 | 不支持 | |
攻击防护 | 帮助您精准地识别和阻断入侵风险。 | 支持 | 支持 | 支持 | 支持 | 不支持 | ||
日志分析 | 实时地自动采集、存储和分析流量日志,帮助您事件回溯、故障排查。 | 支持 | 支持 | 支持 | 支持 | 不支持 | ||
多账号管理 | 帮助您实现多个账号下的资源共享及流量安全访问。 | 支持 | 支持 | 支持 | 不支持 | 不支持 | ||
资产异常告警 | 资产异常时,能够及时通过短信或邮件通知您。 | 支持 | 支持 | 支持 | 支持 | 支持 | ||
非功能性维度 | 核心指标性能 | 互联网防火墙可防护公网IP数 | 基础价格默认包含20个,可扩容范围为20~1,000个。 | 基础价格默认包含50个,可扩容范围为50~2,000个。 | 基础价格默认包含400个,可扩容范围为400~4,000个。 | 最多支持接入1,000个公网IP。 | - | |
互联网防火墙公网流量处理能力 | 基础价格默认包含10 Mbps,可扩容范围为10~5,000 Mbps。 | 基础价格默认包含50 Mbps,可扩容范围为50~10,000 Mbps。 | 基础价格默认包含200 Mbps,可扩容范围为200~15,000 Mbps。 | 不超过5 Gbps。 | - | |||
NAT防火墙实例数 | 基础价格默认不包含,可扩容范围为1~20个。 | 基础价格默认不包含,可扩容范围为1~20个。 | 基础价格默认包含1个,可扩容范围为1~100个。 | 不限制 | - | |||
NAT防火墙私网流量处理能力 | 基础价格默认不包含,可扩容范围为5~1,000 Mbps。 | 基础价格默认不包含,可扩容范围为5~1,000 Mbps。 | 基础价格默认包含10 Mbps,可扩容范围为10~5,000 Mbps。 | 不限制 | - | |||
VPC防火墙实例数 | 不支持 | 基础价格默认包含2个,可扩容范围为2~200个。 | 基础价格默认包含5个,可扩容范围为5~500个。 | 不限制 | - | |||
VPC防火墙流量处理能力 | 不支持 | 基础价格默认包含200 Mbps,可扩容范围为200~10,000 Mbps。 | 基础价格默认包含1,000 Mbps,可扩容范围为1,000~15,000 Mbps。 | 不限制 | - | |||
访问控制策略授权规格 | 基础价格默认包含策略授权规格如下:
可扩展范围(共计):0~100,000个。 | 基础价格默认包含策略授权规格如下:
可扩展范围(共计):0~200,000个。 | 基础价格默认包含策略授权规格如下:
可扩展范围(共计):0~300,000个 | 访问控制策略规格数如下:
| - | |||
基础版本成本 | 付费方式 | 包年包月预付费,适合资源需求相对稳定且可预测、长时间使用云防火墙的场景。 | 按量付费,业务用量经常变化,资源使用具有临时性和突发性的场景。 | 免费 | ||||
版本基础价格 | 2,800元/月 | 9,600元/月 | 26,000元/月 | 按量出账 | - | |||
- 本页导读 (1)
- 产品选型概述
- 通过云防火墙实现云上安全域隔离的防护方案
- 通过云防火墙实现安全域隔离的组网结构
- 云防火墙满足等级保护或安全内审等合规
- (计费)版本选型参考
