云防火墙产品介绍_云防火墙(Cloud Firewall)-阿里云帮助中心

阿里云云防火墙是一款云平台SaaS（Software as a Service）化的防火墙，可针对您云上网络资产的互联网边界、VPC边界及主机边界实现三位一体的统一安全隔离管控，是您业务上云的第一道网络防线。

什么是云防火墙

云防火墙定位全景图

功能概述

互联网边界防火墙

互联网边界防火墙作用于互联网边界，对所有公网资产进出流量统一管控防护。您可以使用互联网边界防火墙，精细化管控业务公网资产出入互联网的访问流量，减少公网资产在互联网的暴露面，降低业务流量的安全风险。互联网边界防火墙内置威胁入侵防御模块，支持失陷主机检测、主动外联行为的阻断、业务访问关系可视等功能。互联网边界防火墙支持一键开启防护，无需复杂的网络接入配置和镜像文件安装，使用集群化部署方式，支持性能平滑扩展。

NAT边界防火墙

VPC内资源（例如ECS、ECI等）通过NAT网关直接访问互联网时，可能存在未经授权的访问、数据泄露、恶意流量攻击等安全风险。为了降低这些风险，您可以开启NAT边界防火墙，利用云防火墙来拦截未授权的流量访问。

VPC边界防火墙

VPC边界防火墙帮助您检测和管控通过云企业网的企业版转发路由器、基础版转发路由器以及高速通道打通的专有网络VPC之间、VPC和本地数据中心之间的东西向流量，实现云上跨VPC之间、VPC与本地数据中心（VBR）、VPC到三方云（VBR）、VPC与VPN之间内网访问流量安全。

主机边界防火墙

主机边界防火墙支持托管ECS安全组，对VPC内ECS实例的出入流量进行访问控制。主机边界防火墙的访问控制策略发布后，会自动同步到ECS安全组并生效。同时支持安全组合规检查和安全组微隔离可视化。

防护范围

防护范围	说明	相关文档

防护范围

说明

相关文档

防护的云资产和流量

云防火墙可以防护以下云资产或流量：

互联网边界防火墙（南北向）：如ECS、EIP（含L2 EIP）、负载均衡类资产、堡垒机、NAT、HaVip、GA EIP等IPv4和IPv6资产。

点击查看可防护的详细资产类型

IPv4

IPv6

ALB EIP
堡垒机出口IP
堡垒机 IP
堡垒机入口IP
EIP
ECS EIP
ECS 公网IP
ENI EIP
GA EIP
说明
- 该加速IP所属GA实例必须为标准型实例。
- 加速IP类型必须为弹性公网IP类型。
- 该加速IP所属加速地域不能为阿里云POP点。
  查看加速地域是否为阿里云POP点，请参见ListAvailableBusiRegions。
HAVIP
NAT EIP
NAT 公网IP
NLB EIP
SLB EIP
SLB 公网IP

ALB IPv6
ECS IPv6
ENI EIP IPv6
GA EIP IPv6
说明
- 该加速IP所属GA实例必须为标准型实例。
- 加速IP类型必须为弹性公网IP类型。
- 该加速IP所属加速地域不能为阿里云POP点。
  查看加速地域是否为阿里云POP点，请参见ListAvailableBusiRegions。
NLB IPv6
SLB IPv6

NAT边界防火墙：私网访问公网的流量。
VPC边界防火墙（东西向）：
- 企业版转发路由器的VPC边界防火墙
  - 同地域多个专有网络VPC（Virtual Private Cloud）互访的流量。
  - 通过企业版转发路由器TR（Transit Router）实现跨地域多个VPC互访的流量。
  - VPC和边界路由器VBR（Virtual Border Router）互访的流量（即VPC和本地数据中心IDC互访的流量）。
  - VPC和云连接网CCN（Cloud Connect Network）互访的流量。
  - 多个VBR互访的流量。
  - CCN和VBR互访的流量。
- 基础版转发路由器的VPC边界防火墙
  - 同地域多个专有网络VPC（Virtual Private Cloud）互访的流量。
  - 通过基础版转发路由器TR（Transit Router）实现跨地域多个VPC互访的流量。
  - VPC和边界路由器VBR（Virtual Border Router）互访的流量（即VPC和本地数据中心IDC互访的流量）。
  - VPC和云连接网CCN（Cloud Connect Network）互访的流量。
- 高速通道VPC边界防火墙
  - 高速通道连接专有网络VPC（Virtual Private Cloud）模式下，同账号同地域多个VPC互访的流量。
  - VPC对等连接模式下，同地域多个VPC互访的流量。
主机边界防火墙：对ECS实例的出入流量进行访问控制。

说明

由于历史网络架构的原因，少量公网SLB不支持云防火墙引流，推荐您采用私网SLB加EIP的方案，将流量牵引到云防火墙上进行防护。

支持的云网络类型

VPC网络：全面支持阿里云VPC网络。
经典网络：互联网边界防火墙和威胁入侵检测（IPS）功能支持防护经典网络。主机边界防火墙支持防护VPC间的流量，不支持防护经典网络。

支持的地域

云防火墙支持的地域信息。

支持的地域

版本介绍

云防火墙提供免费版、按量版、高级版、企业版和旗舰版，以下为您介绍不同版本的主要区别。关于各版本具体的防护能力，请参见功能特性。

版本名称	能力说明	付费模式

版本名称	能力说明	付费模式
免费版	云防火墙免费版提供基础的安全检查能力，可进行安全组检查、等保合规检测、资产异常情况通知服务。	当您的阿里云账号下存在可防护的云资产时，云防火墙免费版即可为您提供服务，无需购买。
按量版	云防火墙按量版支持防护公网资产，具备云上网络攻击感知概览、互联网访问控制策略配置、攻击防护、资产异常情况通知等能力，可以为公网资产提供可靠的安全防护。	按量付费模式，即先使用后付费的计费方式。按量付费具有随时购买、随时升级、随时释放的特性，适用于业务用量变化频繁、资源使用有临时性和突发性等场景。说明云防火墙按量版支持搭配云防火墙按量节省套餐包使用，您可以通过承诺在一定期限内消费一定的金额，来换取较低的按量付费折扣。更多信息，请参见按量节省套餐包。
高级版	云防火墙高级版支持防护公网资产，具备云上网络流量分析防护、互联网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。	包年包月模式，即先付费后使用的计费方式。相比于按量付费模式，包年包月可以提前预留资源，并且享受更低价格，适用于业务稳定、需要长期使用资源等场景。
企业版	云防火墙企业版支持防护公网资产、VPC资产和主机资产，具备云上网络流量分析防护、互联网和内网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。云防火墙企业版覆盖了云防火墙高级版的全部能力，同时提供跨VPC网络安全防御、安全组统一管理与可视化等增值服务。
旗舰版	云防火墙旗舰版支持防护公网资产、VPC资产和主机资产，具备云上网络流量分析防护、互联网和内网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。云防火墙旗舰版覆盖了云防火墙企业版的全部能力，相较于企业版，旗舰版具有更强的防护能力。

免费试用

如果您是第一次购买云防火墙，您可以免费试用云防火墙按量版。更多信息，请参见免费试用。

合规认证

云防火墙已通过ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 29151、ISO 27701、BS 10012、CSA STAR、PCI DSS认证。

联系我们

如果您在购买云防火墙时遇到产品功能、产品价格、产品选型等售前问题，或期望试用云防火墙产品，请通过工单联系产品技术专家进行咨询。