全部產品
Search
文件中心

Cloud Firewall:什麼是Cloud Firewall

更新時間:Jul 31, 2024

阿里雲Cloud Firewall是一款雲平台SaaS(Software as a Service)化的防火牆,可針對您雲上網路資產的互連網邊界、VPC邊界及主機邊界實現三位一體的統一安全隔離管控,是您業務上雲的第一道網路防線。

Cloud Firewall定位全景

功能概述

互連網邊界防火牆

互連網邊界防火牆作用於互連網邊界,對所有公網資產進出流量統一管控防護。您可以使用互連網邊界防火牆,精細化管控業務公網資產出入互連網的訪問流量,減少公網資產在互連網的暴露面,降低業務流量的安全風險。互連網邊界防火牆內建威脅入侵防禦模組,支援失陷主機檢測、主動外聯行為的阻斷、業務訪問關係可視等功能。互連網邊界防火牆支援一鍵開啟防護,無需複雜的網路接入配置和鏡像檔案安裝,使用叢集化部署方式,支援效能平滑擴充。

NAT邊界防火牆

VPC內資源(例如ECS、ECI等)通過NAT Gateway直接存取互連網時,可能存在未經授權的訪問、資料泄露、惡意流量攻擊等安全風險。為了降低這些風險,您可以開啟NAT邊界防火牆,利用Cloud Firewall來攔截未授權的流量訪問。

VPC邊界防火牆

VPC邊界防火牆協助您檢測和管控通過雲企業網的企業版轉寄路由器、基礎版轉寄路由器以及Express Connect打通的Virtual Private Cloud之間、VPC和本機資料中心之間的東西向流量,實現雲上跨VPC之間、VPC與本機資料中心(VBR)、VPC到三方雲(VBR)、VPC與VPN之間內網訪問流量安全。

主機邊界防火牆

主機邊界防火牆支援託管ECS安全性群組,對VPC內ECS執行個體的出入流量進行存取控制。主機邊界防火牆的存取控制策略發布後,會自動同步到ECS安全性群組並生效。同時支援安全性群組合規檢查和安全性群組微隔離可視化。

防護範圍

防護範圍

說明

相關文檔

防護的雲資產和流量

Cloud Firewall可以防護以下雲資產或流量:

  • 互連網邊界防火牆(南北向):ECS公網IP、ECS EIP、CLB公網IP、CLB EIP、ALB EIP、NLB EIP、EIP(含L2 EIP)、ENI EIP、NAT EIP、HaVip EIP、BastionhostIP資產等。

  • NAT邊界防火牆:私網訪問公網的流量。

  • VPC邊界防火牆(東西向):

    • 企業版轉寄路由器的VPC邊界防火牆

      • 同地區多個Virtual Private Cloud(Virtual Private Cloud)互訪的流量。

      • 通過企業版轉寄路由器TR(Transit Router)實現跨地區多個VPC互訪的流量。

      • VPC和邊界路由器VBR(Virtual Border Router)互訪的流量(即VPC和本機資料中心IDC互訪的流量)。

      • VPC和雲串連網CCN(Cloud Connect Network)互訪的流量。

      • 多個VBR互訪的流量。

      • CCN和VBR互訪的流量。

    • 基礎版轉寄路由器的VPC邊界防火牆

      • 同地區多個Virtual Private Cloud(Virtual Private Cloud)互訪的流量。

      • 通過基礎版轉寄路由器TR(Transit Router)實現跨地區多個VPC互訪的流量。

      • VPC和邊界路由器VBR(Virtual Border Router)互訪的流量(即VPC和本機資料中心IDC互訪的流量)。

      • VPC和雲串連網CCN(Cloud Connect Network)互訪的流量。

    • Express ConnectVPC邊界防火牆

      • Express Connect串連Virtual Private Cloud(Virtual Private Cloud)模式下,同帳號同地區多個VPC互訪的流量。

      • VPC對等串連模式下,同地區多個VPC互訪的流量。

  • 主機邊界防火牆:對ECS執行個體的出入流量進行存取控制。

說明

由於歷史網路架構的原因,少量公網SLB不支援Cloud Firewall引流,推薦您採用私網SLB加EIP的方案,將流量牽引到Cloud Firewall上進行防護。

支援的雲網路類型

  • VPC網路:全面支援阿里雲VPC網路。

  • 傳統網路:互連網邊界防火牆和威脅入侵檢測(IPS)功能支援防護傳統網路。主機邊界防火牆支援防護VPC間的流量,不支援防護傳統網路。

-

支援的地區

Cloud Firewall支援的地區資訊。

支援的地區

版本介紹

Cloud Firewall提供免費版、按量版、進階版、企業版和旗艦版,以下為您介紹不同版本的主要區別。關於各版本具體的防護能力,請參見功能特性

版本名稱

能力說明

付費模式

免費版

Cloud Firewall免費版提供基礎的安全檢查能力,可進行安全性群組檢查、等保合規檢測、資產異常情況通知服務。

當您的阿里雲帳號下存在可防護的雲資產時,Cloud Firewall免費版即可為您提供服務,無需購買。

按量版

Cloud Firewall按量版支援防護公網資產,具備雲上網路攻擊感知概覽、互連網存取控制策略配置、攻擊防護、資產異常情況通知等能力,可以為公網資產提供可靠的安全防護。

隨用隨付模式,即先使用後付費的計費方式。

隨用隨付具有隨時購買、隨時升級、隨時釋放的特性,適用於業務用量變化頻繁、資源使用有臨時性和突發性等情境。

進階版

Cloud Firewall進階版支援防護公網資產,具備雲上網路流量分析防護、互連網流量訪問管控、網路攻擊防護、日誌分析、多帳號統一管理、資產異常通知等能力。

訂用帳戶模式,即先付費後使用的計費方式。

相比於隨用隨付模式,訂用帳戶可以提前預留資源,並且享受更低價格,適用於業務穩定、需要長期使用資源等情境。

企業版

Cloud Firewall企業版支援防護公網資產、VPC資產和主機資產,具備雲上網路流量分析防護、互連網和內網流量訪問管控、網路攻擊防護、日誌分析、多帳號統一管理、資產異常通知等能力。

Cloud Firewall企業版覆蓋了Cloud Firewall進階版的全部能力,同時提供跨VPC網路安全防禦、安全性群組統一管理與可視化等增值服務。

旗艦版

Cloud Firewall旗艦版支援防護公網資產、VPC資產和主機資產,具備雲上網路流量分析防護、互連網和內網流量訪問管控、網路攻擊防護、日誌分析、多帳號統一管理、資產異常通知等能力。

Cloud Firewall旗艦版覆蓋了Cloud Firewall企業版的全部能力,相較於企業版,旗艦版具有更強的防護能力。

免費試用

如果您是第一次購買Cloud Firewall,您可以免費試用Cloud Firewall按量版。更多資訊,請參見免費試用

合規認證

Cloud Firewall已通過ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 29151、ISO 27701、BS 10012、CSA STAR、PCI DSS認證。

聯絡我們

如果您在購買Cloud Firewall時遇到產品功能、產品價格、產品選型等售前問題,或期望試用Cloud Firewall產品,請通過工單聯絡產品技術專家進行諮詢。

相關文檔