Cloud Firewall產品介紹 - Cloud Firewall

阿里雲Cloud Firewall是一款雲平台SaaS（Software as a Service）化的防火牆，可針對您雲上網路資產的互連網邊界、VPC邊界及主機邊界實現三位一體的統一安全隔離管控，是您業務上雲的第一道網路防線。

Cloud Firewall定位全景

功能概述

互連網邊界防火牆

互連網邊界防火牆作用於互連網邊界，對所有公網資產進出流量統一管控防護。您可以使用互連網邊界防火牆，精細化管控業務公網資產出入互連網的訪問流量，減少公網資產在互連網的暴露面，降低業務流量的安全風險。互連網邊界防火牆內建威脅入侵防禦模組，支援失陷主機檢測、主動外聯行為的阻斷、業務訪問關係可視等功能。互連網邊界防火牆支援一鍵開啟防護，無需複雜的網路接入配置和鏡像檔案安裝，使用叢集化部署方式，支援效能平滑擴充。

NAT邊界防火牆

VPC內資源（例如ECS、ECI等）通過NAT Gateway直接存取互連網時，可能存在未經授權的訪問、資料泄露、惡意流量攻擊等安全風險。為了降低這些風險，您可以開啟NAT邊界防火牆，利用Cloud Firewall來攔截未授權的流量訪問。

VPC邊界防火牆

VPC邊界防火牆協助您檢測和管控通過雲企業網的企業版轉寄路由器、基礎版轉寄路由器以及Express Connect打通的Virtual Private Cloud之間、VPC和本機資料中心之間的東西向流量，實現雲上跨VPC之間、VPC與本機資料中心（VBR）、VPC到三方雲（VBR）、VPC與VPN之間內網訪問流量安全。

主機邊界防火牆

主機邊界防火牆支援託管ECS安全性群組，對VPC內ECS執行個體的出入流量進行存取控制。主機邊界防火牆的存取控制策略發布後，會自動同步到ECS安全性群組並生效。同時支援安全性群組合規檢查和安全性群組微隔離可視化。

防護範圍

防護範圍	說明	相關文檔
防護的雲資產和流量	Cloud Firewall可以防護以下雲資產或流量：互連網邊界防火牆（南北向）：ECS公網IP、ECS EIP、CLB公網IP、CLB EIP、ALB EIP、NLB EIP、EIP（含L2 EIP）、ENI EIP、NAT EIP、HaVip EIP、BastionhostIP資產等。 NAT邊界防火牆：私網訪問公網的流量。 VPC邊界防火牆（東西向）：企業版轉寄路由器的VPC邊界防火牆同地區多個Virtual Private Cloud（Virtual Private Cloud）互訪的流量。通過企業版轉寄路由器TR（Transit Router）實現跨地區多個VPC互訪的流量。 VPC和邊界路由器VBR（Virtual Border Router）互訪的流量（即VPC和本機資料中心IDC互訪的流量）。 VPC和雲串連網CCN（Cloud Connect Network）互訪的流量。多個VBR互訪的流量。 CCN和VBR互訪的流量。基礎版轉寄路由器的VPC邊界防火牆同地區多個Virtual Private Cloud（Virtual Private Cloud）互訪的流量。通過基礎版轉寄路由器TR（Transit Router）實現跨地區多個VPC互訪的流量。 VPC和邊界路由器VBR（Virtual Border Router）互訪的流量（即VPC和本機資料中心IDC互訪的流量）。 VPC和雲串連網CCN（Cloud Connect Network）互訪的流量。 Express ConnectVPC邊界防火牆 Express Connect串連Virtual Private Cloud（Virtual Private Cloud）模式下，同帳號同地區多個VPC互訪的流量。 VPC對等串連模式下，同地區多個VPC互訪的流量。主機邊界防火牆：對ECS執行個體的出入流量進行存取控制。說明由於歷史網路架構的原因，少量公網SLB不支援Cloud Firewall引流，推薦您採用私網SLB加EIP的方案，將流量牽引到Cloud Firewall上進行防護。	互連網邊界防火牆 NAT邊界防火牆配置企業版轉寄路由器的VPC邊界防火牆配置基礎版轉寄路由器的VPC邊界防火牆配置Express ConnectVPC邊界防火牆配置主機邊界存取控制策略
支援的雲網路類型	VPC網路：全面支援阿里雲VPC網路。傳統網路：互連網邊界防火牆和威脅入侵檢測（IPS）功能支援防護傳統網路。主機邊界防火牆支援防護VPC間的流量，不支援防護傳統網路。	-
支援的地區	Cloud Firewall支援的地區資訊。	支援的地區

版本介紹

Cloud Firewall提供免費版、按量版、進階版、企業版和旗艦版，以下為您介紹不同版本的主要區別。關於各版本具體的防護能力，請參見功能特性。

版本名稱	能力說明	付費模式
免費版	Cloud Firewall免費版提供基礎的安全檢查能力，可進行安全性群組檢查、等保合規檢測、資產異常情況通知服務。	當您的阿里雲帳號下存在可防護的雲資產時，Cloud Firewall免費版即可為您提供服務，無需購買。
按量版	Cloud Firewall按量版支援防護公網資產，具備雲上網路攻擊感知概覽、互連網存取控制策略配置、攻擊防護、資產異常情況通知等能力，可以為公網資產提供可靠的安全防護。	隨用隨付模式，即先使用後付費的計費方式。隨用隨付具有隨時購買、隨時升級、隨時釋放的特性，適用於業務用量變化頻繁、資源使用有臨時性和突發性等情境。
進階版	Cloud Firewall進階版支援防護公網資產，具備雲上網路流量分析防護、互連網流量訪問管控、網路攻擊防護、日誌分析、多帳號統一管理、資產異常通知等能力。	訂用帳戶模式，即先付費後使用的計費方式。相比於隨用隨付模式，訂用帳戶可以提前預留資源，並且享受更低價格，適用於業務穩定、需要長期使用資源等情境。
企業版	Cloud Firewall企業版支援防護公網資產、VPC資產和主機資產，具備雲上網路流量分析防護、互連網和內網流量訪問管控、網路攻擊防護、日誌分析、多帳號統一管理、資產異常通知等能力。 Cloud Firewall企業版覆蓋了Cloud Firewall進階版的全部能力，同時提供跨VPC網路安全防禦、安全性群組統一管理與可視化等增值服務。
旗艦版	Cloud Firewall旗艦版支援防護公網資產、VPC資產和主機資產，具備雲上網路流量分析防護、互連網和內網流量訪問管控、網路攻擊防護、日誌分析、多帳號統一管理、資產異常通知等能力。 Cloud Firewall旗艦版覆蓋了Cloud Firewall企業版的全部能力，相較於企業版，旗艦版具有更強的防護能力。

免費試用

如果您是第一次購買Cloud Firewall，您可以免費試用Cloud Firewall按量版。更多資訊，請參見免費試用。

合規認證

Cloud Firewall已通過ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 29151、ISO 27701、BS 10012、CSA STAR、PCI DSS認證。

聯絡我們

如果您在購買Cloud Firewall時遇到產品功能、產品價格、產品選型等售前問題，或期望試用Cloud Firewall產品，請通過工單聯絡產品技術專家進行諮詢。