云防火墙：云防火墙产品选型指导

为什么需要云防火墙实现云上安全域安全隔离和防护？

基于业务类型、网络规模、业务管理等因素的影响，一般企业上云后的安全域处于默认模式，这样就会导致随着业务的发展，业务网络架构变得混乱。例如，开放了不必要的端口发布到互联网、内部通信访问权限太大等。如果业务被恶意入侵，会存在很大的安全隐患。

网络安全域类似酒店，每个不同的入住客人可以入住不同的楼层和房间，互不干扰。在实际的IT业务环境中，数据库服务器与供客户访问的Web服务器显然不是一个安全等级，测试环境的服务器与正式提供服务的生产服务器也不是一个安全等级。因此，我们要对相应的业务资产从业务功能、通信关系等方面划分安全域。

如何设计安全域隔离业务

企业业务一般按业务维度划分为互联网业务、内部系统；按系统维度分区：生产、开发测试、共享区等。针对不同业务区可通过云防火墙实现安全域隔离和防护。

互联网入安全设计

• 设计原则：保证灵活性、弹性伸缩能力和安全性。

• 设计建议：

  • 配置云防火墙互联网边界防火墙管控公网入向流量（可搭配WAF和DDoS防护）。

  • 可选：配置统一隔离区DMZ（Demilitarized Zone）VPC，搭配弹性公网IP（简称EIP）、负载均衡SLB、ECS公网等提供互联网入向连接。

互联网出向安全设计

• 设计原则：保证灵活性、弹性伸缩能力和安全性。

• 设计建议：

  • 配置云防火墙互联网边界防火墙和NAT边界防火墙分别管控公网和私网出向流量。

  • 可选：配置统一隔离区DMZ（Demilitarized Zone）VPC或不同业务VPC，搭配弹性公网IP（简称EIP）、NAT网关等提供互联网出向连接。

云上业务互联安全设计

• 设计原则：环境隔离，必要的连通同时保证安全。

• 设计建议：

  • 配置云企业网（CEN），推荐企业版转发路由器，绑定VPC实现云上网络实例互联，或绑定VBR实现跨云互联互访。

  • 配置云防火墙VPC边界防火墙实现云上跨VPC或跨云业务流量安全4~7层访问控制和横向攻击防护和审计溯源。

  • 配置云防火墙主机边界防火墙实现VPC内微隔离。

云上与IDC机房业务互联安全设计

• 设计原则：云上与本地机房互访互通，同时保证安全。

• 设计建议：

  • 配置云企业网（CEN）或高速通道，本地IDC机房通过VBR接入云企业网或高速通道与云上VPC业务区互访。

  • 配置VPC边界防火墙实现本地IDC机房与云上VPC业务区互访异常流量监控、4~7层精细化访问控制策略访问控制、横向攻击防护、日志审计等。

针对大型的集团子公司业务：生产网的安全域又会分为集团安全域、子分公司安全域等。集团安全域又划分为生产网外网区、内网区和生产网DMZ区。生产内网的安全域又会根据业务类型的不同分为普通业务安全域、核心业务安全域、数据库安全域等。

针对一般的小型公司业务：根据业务类型、功能模块、网络通信关系等维度，划分为普通业务安全、核心业务安全域、数据安全域、DMA安全域（邮件系统、门户网站）等。

选择适合的云防火墙版本

什么是云防火墙

更多信息，请参见云防火墙简介、应用场景。

如何根据业务选择合适的云防火墙版本

云防火墙分为按量版（含按量节省套餐包）、高级版、企业版和旗舰版四个版本，每个版本支持的功能、资产、带宽扩展规格不同。根据如下表格说明选择合适的版本。更多信息，请参见功能特性。

如何进行版本选型

按量版（含按量节省套餐包）：云防火墙按量版采用先使用后付费的计费方式，可搭配按量节省套餐包（预付费）节省更多成本。

• 适用于业务用量经常变化、资源使用有临时性和突发性等企业场景。

• 适用于资产数（一般公网资产10个以下）或流量较小（一般峰值带宽10 Mbps以下）的中小企业场景。

包年包月版：高级版、企业版、旗舰版。包年包月是一种先付费后使用的预付费方式。通过包年包月，您可以提前预留资源，实现较大规格量资产的安全保护。

• 适合业务用量稳定、资源使用稳定的企业场景。

• 适用于资产数较多（一般公网资产10个以上）或流量较大（一般峰值带宽10 Mbps以上）的企业场景。

云防火墙支持的防护范围