阿里云云防火墙是一款云平台SaaS(Software as a Service)化的防火墙,可针对您云上网络资产的互联网边界、VPC边界及主机边界实现三位一体的统一安全隔离管控,是您业务上云的第一道网络防线。
云防火墙定位全景图
功能概述
互联网边界防火墙
支持精细化管控业务公网资产出入互联网的访问流量,降低公网资产暴露风险。内置威胁防御模块,支持失陷主机检测、外联阻断和访问关系可视化等功能。使用集群化部署方式,无需复杂配置,支持一键开启防护,并支持性能扩展。
NAT边界防火墙
VPC资源通过NAT网关访问互联网时,可能面临未授权访问、数据泄露、恶意流量攻击等安全风险。开启NAT边界防火墙可拦截未授权流量。
VPC边界防火墙
检测和管控通过云企业网的企业版转发路由器、基础版转发路由器以及高速通道打通的专有网络VPC之间、VPC和本地数据中心之间的东西向流量,实现云上跨VPC之间、VPC与本地数据中心(VBR)、VPC到三方云(VBR)、VPC与VPN之间内网访问流量安全。
主机边界防火墙
支持托管ECS安全组,管控VPC内ECS实例流量。访问控制策略自动同步至ECS安全组生效。支持安全组合规检查和微隔离可视化。
防护范围
防护范围 | 说明 | 相关文档 |
防护的云资产和流量 | 云防火墙可以防护以下云资产或流量:
说明 由于历史网络架构的原因,少量公网SLB不支持云防火墙引流,推荐您采用私网SLB加EIP的方案,将流量牵引到云防火墙上进行防护。 | |
支持的云网络类型 |
| - |
支持的地域 | 云防火墙支持的地域信息。 |
云防火墙的互联网边界防火墙,主要管控云上公网资产(如 EIP、NAT 网关公网 IP、SLB公网IP 等)出入互联网的流量,无法直接对纯线下网络的公网 IP 进行防护。
如需对自建 IDC 或线下网络进行安全防护,建议通过云企业网(CEN)或对等连接将线下网络接入阿里云 VPC,随后利用 VPC 边界防火墙对跨云互联流量进行统一的访问控制与安全防护。
版本介绍
云防火墙提供免费版、按量版、高级版、企业版和旗舰版,以下为您介绍不同版本的主要区别。关于各版本具体的防护能力,请参见功能版本对比。
版本名称 | 能力说明 | 付费模式 |
按量版 | 云防火墙按量版支持防护公网资产,具备云上网络攻击感知概览、互联网访问控制策略配置、攻击防护、资产异常情况通知等能力,可以为公网资产提供可靠的安全防护。 | 按量付费模式,即先使用后付费的计费方式。 按量付费灵活适配业务需求,适用于业务用量变化频繁、资源使用有临时性和突发性等场景。 说明 云防火墙按量版支持搭配云防火墙按量节省套餐包使用,您可以通过承诺在一定期限内消费一定的金额,来换取较低的按量付费折扣。更多信息,请参见按量节省套餐包。 |
高级版 | 云防火墙高级版支持防护公网资产,具备云上网络流量分析防护、互联网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。 | 包年包月模式,即先付费后使用的计费方式。 相比于按量付费模式,包年包月可以提前预留资源,并且享受更低价格,适用于业务稳定、需要长期使用资源等场景。 |
企业版 | 云防火墙企业版支持防护公网资产、VPC资产和主机资产,具备云上网络流量分析防护、互联网和内网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。 云防火墙企业版覆盖了云防火墙高级版的全部能力,同时提供跨VPC网络安全防御、安全组统一管理与可视化等增值服务。 | |
旗舰版 | 云防火墙旗舰版覆盖了云防火墙企业版的全部能力,相较于企业版,旗舰版具有更强的防护能力。 |
合规认证
云防火墙已通过ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 29151、ISO 27701、BS 10012、CSA STAR、PCI DSS认证。
常见问题
Web应用防火墙、云防火墙、DDoS高防有什么区别?
Web应用防火墙(WAF):专注于HTTP/HTTPS业务层的安全防护产品。通过深度解析Web请求,防御应用层攻击。
云防火墙(CFW):云环境统一网络边界访问控制产品。提供互联网边界、VPC边界及NAT边界的流量管控与入侵防御,防止网络层入侵与横向移动。
DDoS高防:针对大规模分布式拒绝服务(DDoS)攻击,通过将业务流量重定向至遍布全球的高防清洗中心,过滤恶意攻击流量,确保业务在攻击下的稳定性和可用性。
云产品 | Web应用防火墙 (WAF) | 云防火墙 (CFW) | DDoS高防 |
防护层级 | 应用层 (L7) | 网络层/传输层 (L3-L4) | 网络层/传输层 (L3-L4)与应用层 (L7) |
核心机制 | 语义分析、规则匹配、行为建模 | 访问控制策略、状态检测、入侵防御系统 | 流量清洗、特征过滤、带宽扩容 |
可防御的攻击 | SQL注入、XSS跨站、Webshell上传、CC攻击、恶意机器爬虫、API滥用 | 端口扫描、暴力破解、未授权访问、挖矿蠕虫、东西向流量威胁 | SYN Flood、UDP Flood等L3/L4流量型攻击,高频CC攻击等L7应用层攻击 |
适用场景 | 需防御网站/APP被篡改、恶意访问、爬虫或API接口被滥用。 | 需统一管控云资产公网出入口访问策略,防止服务器被暴力破解或内网横向扩散。 | 需保障业务在大流量攻击下不瘫痪、不丢包,确保网络链路畅通。 |
在构建纵深防御体系时,建议采用“DDoS高防+云防火墙+WAF”的组合架构。
使用了CDN、NAT网关、WAF等产品,还能使用云防火墙吗?业务流量路径是什么?
可以,云防火墙支持与其他云产品协同部署,流量路径具体如下图所示。
如何判断业务需要购买多少云防火墙实例?
当前新用户默认采用计费 2.0 模式。在该模式下,包年包月云防火墙默认提供通用实例规格,该规格可用于创建不同边界防火墙(例如:包年包月高级版提供 1 个通用实例规格)。
云防火墙实例数的占用计算规则如下:
互联网边界防火墙:每个防护地域对应 1 个实例。同一地域内,无论开启防护的公网 IP 数量多少,也无论 IP 类型为 IPv4 还是 IPv6,均仅占用 1 个实例规格。
NAT 边界防火墙:每个 NAT 网关实例对应 1 个实例。
VPC 边界防火墙:
云企业网(企业版)架构下,每个转发路由器(TR)对应 1 个实例。
云企业网(基础版)架构下,每个 VPC 对应 1 个实例。
对等链接架构下,每对 VPC 对应 1 个实例。
多账号统一管理:若开启此功能,每个成员账号的资产将单独占用云防火墙实例规格,并计收实例费。
阿里云云防火墙是自研产品还是 OEM 产品?
阿里云云防火墙是阿里云完全自研产品,并非第三方厂商的 OEM 产品。
相关文档
通过计费概述了解云防火墙的计费内容。
查看选型指导,选择适合业务需要的云防火墙版本。
通过快速使用云防火墙统一防护云上资产了解如何开通并使用云防火墙按量版。
通过包年包月新手引导了解如何开通并使用云防火墙包年包月版。