什么是云防火墙

更新时间: 2023-08-10 14:44:45

阿里云云防火墙是一款云平台SaaS(Software as a Service)化的防火墙,可针对您云上网络资产的互联网边界、VPC边界及主机边界实现三位一体的统一安全隔离管控,是您业务上云的第一道网络防线。

云防火墙定位全景图

全景图

功能概述

云防火墙主要包含互联网边界防火墙、VPC边界防火墙、主机边界防火墙,为您提供互联网、虚拟网络、主机三种边界防护。

互联网边界防火墙

互联网边界防火墙作用于互联网边界,对所有公网IP统一管控。

主机边界防火墙

主机防火墙对应安全组,对ECS间通信进行管控。

VPC边界防火墙

VPC边界防火墙作用于VPC边界,对云企业网和高速通道流量进行管控。

场景说明

互联网边界、主机边界防火墙和VPC边界防火墙配合使用,可以精细化地管控数据访问行为,同时也组成了互联网边界-虚拟网络边界-主机边界三层纵深防御体系。

场景
满足精细化的访问控制需求
  • 云防火墙提供集中式的访问控制,也就是出方向、入方向访问控制策略,提供了应用、域名等精细化访问控制策略。
  • 云防火墙可以统一管控所有VPC、所有区域,并提供观察模式、地址簿等优化策略配置功能,配置相对简单。
场景
满足微隔离的访问控制需求
  • 云防火墙提供分布式的访问控制,目前底层利用的是安全组能力,同时提供所有内部流量的可视能力,帮助您优化内对内策略。
  • 同时,为您提供策略的观察模式、拦截访问分析、智能策略等能力。

推荐配置

根据网络边界配置防火墙,便于逻辑分层,同时也方便后续维护。

  • 公网防护需求

    如果您只有公网流量防护需求,就只需要在互联网边界防火墙处配置即出方向或入方向访问控制策略。具体操作,请参见互联网边界(出入双向流量)

  • 主机防护需求

    如果您在防护公网流量的同时,还需要防护主机(ECS)之间的流量,可以将互联网边界防火墙和主机边界防火墙配合使用,即配置互联网边界防火墙访问控制策略的同时,再在主机边界防火墙处配置策略组访问控制策略。具体操作,请参见主机边界(ECS实例间)

  • 跨VPC&云上云下防护需求

    如果您在防护公网流量的同时,还需要防护VPC之间、VPC与IDC之间的流量,可以将互联网边界防火墙和VPC边界防火墙配合使用,即配置互联网边界防火墙访问控制策略的同时,再在VPC边界防火墙处配置访问控制策略。具体操作,请参见VPC边界

防护范围

云防火墙可以防护以下云资产或流量:

  • 互联网边界防火墙(南北向):ECS公网IP、ECS EIP、CLB公网IP、CLB EIP、ALB EIP、NLB EIP、HAVIP、EIP(含L2 EIP)、ENI EIP、NAT EIP、SLB IPv6、ECS IPv6、堡垒机IP资产。

  • VPC边界防火墙(东西向):

    • 企业版转发路由器的VPC边界防火墙

      • 同地域多个专有网络VPC(Virtual Private Cloud)互访的流量。

      • 通过企业版转发路由器TR(Transit Router)实现跨地域多个VPC互访的流量。

      • VPC和边界路由器VBR(Virtual Border Router)互访的流量(即VPC和本地数据中心IDC互访的流量)。

      • VPC和云连接网CCN(Cloud Connect Network)互访的流量。

      • 多个VBR互访的流量。

      • CCN和VBR互访的流量。

    • 基础版转发路由器的VPC边界防火墙

      • 同地域多个专有网络VPC(Virtual Private Cloud)互访的流量。

      • 通过基础版转发路由器TR(Transit Router)实现跨地域多个VPC互访的流量。

      • VPC和边界路由器VBR(Virtual Border Router)互访的流量(即VPC和本地数据中心IDC互访的流量)。

      • VPC和云连接网CCN(Cloud Connect Network)互访的流量。

    • 高速通道VPC边界防火墙

      • 高速通道连接专有网络VPC(Virtual Private Cloud)模式下,同账号同地域多个VPC互访的流量。

      • VPC对等连接模式下,同地域多个VPC互访的流量。

  • 主机边界防火墙:ECS实例之间的流量。

版本介绍

云防火墙提供免费版、按量付费版、高级版、企业版和旗舰版,以下为您介绍不同版本的主要区别。关于各版本具体的防护能力,请参见功能特性

版本名称

能力说明

付费模式

免费版

云防火墙免费版提供基础的安全检查能力,可进行安全组检查、等保合规检测、资产异常情况通知服务。

当您的阿里云账号下存在可防护的云资产时,云防火墙免费版即可为您提供服务,无需购买。

按量付费版

云防火墙按量付费版支持防护公网资产,具备云上网络攻击感知概览、互联网访问控制策略配置、攻击防护、资产异常情况通知等能力,可以为公网资产提供可靠的安全防护。

按量付费模式,即先使用后付费的计费方式。

按量付费具有随时购买、随时升级、随时释放的特性,适用于业务用量变化频繁、资源使用有临时性和突发性等场景。

说明

云防火墙按量付费版支持搭配云防火墙按量节省套餐包使用,您可以通过承诺在一定期限内消费一定的金额,来换取较低的按量付费折扣。更多信息,请参见按量节省套餐包

高级版

云防火墙高级版支持防护公网资产,具备云上网络流量分析防护、互联网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。

包年包月模式,即先付费后使用的计费方式。

相比于按量付费模式,包年包月可以提前预留资源,并且享受更低价格,适用于业务稳定、需要长期使用资源等场景。

企业版

云防火墙企业版支持防护公网资产、VPC资产和主机资产,具备云上网络流量分析防护、互联网和内网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。

云防火墙企业版覆盖了云防火墙高级版的全部能力,同时提供跨VPC网络安全防御、安全组统一管理与可视化等增值服务。

旗舰版

云防火墙旗舰版支持防护公网资产、VPC资产和主机资产,具备云上网络流量分析防护、互联网和内网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。

云防火墙旗舰版覆盖了云防火墙企业版的全部能力,相较于企业版,旗舰版具有更强的防护能力。

免费试用

如果您是第一次购买云防火墙,您可以免费试用云防火墙按量付费版或者云防火墙高级版。

合规认证

云防火墙已通过ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 29151、ISO 27701、BS 10012、CSA STAR、PCI DSS认证。

联系我们

如果您在购买云防火墙时遇到产品功能、产品价格、产品选型等售前问题,或期望试用云防火墙产品,请加入钉群(钉群号:33081734),联系产品技术专家进行咨询。

参考文档

云防火墙帮助您在云上实现业务隔离和防护,确保业务安全且满足合规要求。如果您是第一次使用云防火墙,建议先浏览如何使用云防火墙,可以帮助您更好地了解和熟悉云防火墙产品。

阿里云首页 云防火墙 相关技术圈