Cloud Firewall產品選型指導 - Cloud Firewall

Cloud Firewall（Cloud Firewall）協助您在雲上實現業務隔離和防護，確保業務安全且滿足合規要求。本文介紹如何更好地使用Cloud Firewall為您的業務提供防護保障。

為什麼需要Cloud Firewall實現雲上安全域安全隔離和防護？

基於業務類型、網路規模、業務管理等因素的影響，一般企業上雲後的安全域處於預設模式，這樣就會導致隨著業務的發展，業務網路架構變得混亂。例如，開放了不必要的連接埠發布到互連網、內部通訊存取權限太大等。如果業務被惡意入侵，會存在很大的安全隱患。

網路安全域類似酒店，每個不同的入住客人可以入住不同的樓層和房間，互不干擾。在實際的IT業務環境中，資料庫伺服器與供客戶訪問的Web伺服器顯然不是一個安全等級，測試環境的伺服器與正式提供服務的生產伺服器也不是一個安全等級。因此，我們要對相應的業務資產從業務功能、通訊關係等方面劃分安全域。

如何設計安全域隔離業務

企業業務一般按業務維度劃分為互連網業務、內部系統；按系統維度分區：生產、開發測試、共用區等。針對不同業務區可通過Cloud Firewall實現安全域隔離和防護。

互連網入安全設計

設計原則：保證靈活性、Auto Scaling能力和安全性。
設計建議：
- 配置Cloud Firewall互連網邊界防火牆管控公網入向流量（可搭配WAF和DDoS防護）。
- 可選：配置統一隔離區DMZ（Demilitarized Zone）VPC，搭配Elastic IP Address（簡稱EIP）、Server Load Balancer、ECS公網等提供互連網入向串連。

互連網出向安全設計

設計原則：保證靈活性、Auto Scaling能力和安全性。
設計建議：
- 配置Cloud Firewall互連網邊界防火牆和NAT邊界防火牆分別管控公網和私網出向流量。
- 可選：配置統一隔離區DMZ（Demilitarized Zone）VPC或不同業務VPC，搭配Elastic IP Address（簡稱EIP）、NAT Gateway等提供互連網出向串連。

雲上業務互聯安全設計

設計原則：環境隔離，必要的連通同時保證安全。
設計建議：
- 配置雲企業網（CEN），推薦企業版轉寄路由器，綁定VPC實現雲上網路執行個體互聯，或綁定VBR實現跨雲互聯互訪。
- 配置Cloud FirewallVPC邊界防火牆實現雲上跨VPC或跨雲業務流量安全4~7層存取控制和橫向攻擊防護和審計溯源。
- 配置Cloud Firewall主機邊界防火牆實現VPC內微隔離。

雲上與IDC機房業務互聯安全設計

設計原則：雲上與本地機房互訪互連，同時保證安全。
設計建議：
- 配置雲企業網（CEN）或Express Connect，本地IDC機房通過VBR接入雲企業網或Express Connect與雲上VPC業務區互訪。
- 配置VPC邊界防火牆實現本地IDC機房與雲上VPC業務區互訪異常流量監控、4~7層精細化存取控制策略存取控制、橫向攻擊防護、日誌審計等。

針對大型的集糰子公司業務：生產網的安全域又會分為集團安全域、子分公司安全域等。集團安全域又劃分為生產網外網區、內網區和生產網DMZ區。生產內網的安全域又會根據業務類型的不同分為普通業務安全域、核心業務安全域、資料庫安全域等。

針對一般的小型公司業務：根據業務類型、功能模組、網路通訊關係等維度，劃分為普通業務安全、核心業務安全域、資料安全域、DMA安全域（郵件系統、門戶網站）等。

選擇適合的Cloud Firewall版本

什麼是Cloud Firewall

更多資訊，請參見Cloud Firewall簡介、應用情境。

如何根據業務選擇合適的Cloud Firewall版本

Cloud Firewall分為按量版（含按量節省套餐包）、進階版、企業版和旗艦版四個版本，每個版本支援的功能、資產、頻寬擴充規格不同。根據如下表格說明選擇合適的版本。更多資訊，請參見功能特性。

如何進行版本選型

按量版（含按量節省套餐包）：Cloud Firewall按量版採用先使用後付費的計費方式，可搭配按量節省套餐包（預付費）節省更多成本。

適用於業務用量經常變化、資源使用有臨時性和突發性等企業情境。
適用於資產數（一般公網資產10個以下）或流量較小（一般峰值頻寬10 Mbps以下）的中小企業情境。

訂用帳戶版：進階版、企業版、旗艦版。訂用帳戶是一種先付費後使用的預付費方式。通過訂用帳戶，您可以提前預留資源，實現較大規格量資產的安全保護。

適合業務用量穩定、資源使用穩定的企業情境。
適用於資產數較多（一般公網資產10個以上）或流量較大（一般峰值頻寬10 Mbps以上）的企業情境。

防護公網IP數	防護VPC數量	是否支援多帳號管控	建議Cloud Firewall版本	核心功能
1~1,000個	無	否	按量版	入門級防火牆。提供互連網方向網路安全防禦能力。提供基礎網路入侵防禦（NIPS）能力。
20~1,000個	無	1~20個	進階版	入門級防火牆。提供互連網方向網路安全防禦能力。提供基礎網路入侵防禦（NIPS）能力。
50~2,000個	2~200個	1~50個	企業版	企業級防火牆，覆蓋進階版全部能力。提供VPC間網路安全防禦能力。安全性群組統一管理與可視化。整合Security Center，提供失陷感知。
400~4,000個	5~500個	1~1000個	旗艦版	大型企業推薦使用旗艦版，覆蓋企業版全部能力。提供多帳號的統一組網的安全管理能力。
納管其他阿里雲帳號資產	進階版：1~20個企業版：1~50個旗艦版：1~1,000個	是	進階版、企業版、旗艦版	大型企業推薦使用旗艦版，覆蓋企業版全部能力。提供多帳號的統一組網的安全管理能力。

Cloud Firewall支援的防護範圍

防護範圍	說明	相關文檔
防護的雲資產和流量	Cloud Firewall可以防護以下雲資產或流量：互連網邊界防火牆（南北向）：ECS公網IP、ECS EIP、CLB公網IP、CLB EIP、ALB EIP、NLB EIP、EIP（含L2 EIP）、ENI EIP、NAT EIP、HaVip EIP、BastionhostIP資產等。 NAT邊界防火牆：私網訪問公網的流量。 VPC邊界防火牆（東西向）：企業版轉寄路由器的VPC邊界防火牆同地區多個Virtual Private Cloud（Virtual Private Cloud）互訪的流量。通過企業版轉寄路由器TR（Transit Router）實現跨地區多個VPC互訪的流量。 VPC和邊界路由器VBR（Virtual Border Router）互訪的流量（即VPC和本機資料中心IDC互訪的流量）。 VPC和雲串連網CCN（Cloud Connect Network）互訪的流量。多個VBR互訪的流量。 CCN和VBR互訪的流量。基礎版轉寄路由器的VPC邊界防火牆同地區多個Virtual Private Cloud（Virtual Private Cloud）互訪的流量。通過基礎版轉寄路由器TR（Transit Router）實現跨地區多個VPC互訪的流量。 VPC和邊界路由器VBR（Virtual Border Router）互訪的流量（即VPC和本機資料中心IDC互訪的流量）。 VPC和雲串連網CCN（Cloud Connect Network）互訪的流量。 Express ConnectVPC邊界防火牆 Express Connect串連Virtual Private Cloud（Virtual Private Cloud）模式下，同帳號同地區多個VPC互訪的流量。 VPC對等串連模式下，同地區多個VPC互訪的流量。主機邊界防火牆：對ECS執行個體的出入流量進行存取控制。說明由於歷史網路架構的原因，少量公網SLB不支援Cloud Firewall引流，推薦您採用私網SLB加EIP的方案，將流量牽引到Cloud Firewall上進行防護。	互連網邊界防火牆 NAT邊界防火牆配置企業版轉寄路由器的VPC邊界防火牆配置基礎版轉寄路由器的VPC邊界防火牆配置Express ConnectVPC邊界防火牆配置主機邊界存取控制策略
雲網路類型	VPC網路：全面支援阿里雲VPC網路。傳統網路：互連網邊界防火牆和威脅入侵檢測（IPS）功能支援防護傳統網路。主機邊界防火牆支援防護VPC間的流量，不支援防護傳統網路。	-
地區	Cloud Firewall支援的地區資訊。	支援的地區