层次化守护云上网络边界安全
阿里云云防火墙是一款云原生的云上边界网络安全防护产品,为您提供基于独家全网威胁情报的实时入侵防护、全流量可视化分析、智能化访问控制、日志溯源分析等能力,是您的网络边界防护的利器。云防火墙可以防护以下云资产或流量:
• 互联网边界防火墙可保护诸如以下的资产的南北向流量:云服务器ECS实例的公网IP、负载均衡SLB实例的弹性公网IP(EIP)、SLB实例的公网IP、高可用虚拟IP(HAVIP)、EIP、ECS实例的EIP、弹性网卡(ENI)的EIP、NAT网关的EIP、应用型负载均衡ALB实例的ENI、SLB实例的IPv6地址、ECS实例的IPv6地址,以及堡垒机的IP地址。
• VPC边界防火墙可保护不同类型的东西向流量,包括VPC之间的流量、VPC与数据中心(如虚拟边界路由器(VBR)或VPN)之间的流量,以及阿里云VPC与第三方云(如VBR或VPN)之间的流量。
• 主机边界防火墙可保护VPC内ECS实例之间的流量。
产品优势
秒级接入
• 全托管服务,免设备部署
• 秒级接入,即刻防御
弹性扩展
• SaaS集群化,性能平滑扩展
• 基于NFV架构东西向可扩展100+Gbps
云原生智能防护
• 全方位访问控制能力
• 内置智能威胁检测引擎与威胁情报
全流量访问可视化
• 全网流量拓扑可视化
• 异常流量趋势溯源分析
多账户集中管理
• 统一企业安全策略
• 实现统一防护及时防御
产品功能
精细化访问控制
可统一管理互联网到业务的访问控制策略(南北向)和业务与业务之间的微隔离策略(东西向),提供4-7层精细化访问控制,包括基于IP、端口、应用、域名、地理位置等访问管控。
主动外联检测防护
支持云内资源的主动外联网络侧流量分析和检测,协助用户判断恶意外连请求。可向您实时展示资产的主动外联流量会话,帮助您及时发现可疑主机和失陷事件。
内网VPC隔离管控
VPC边界防火墙帮助您检测和管控专有网络VPC之间、VPC和本地数据中心之间的流量,实现控制VPC之间、VPC与本地数据之间访问流量精细化访问控制,及内网横向攻击防护。
实时入侵检测防护
云防火墙内置了威胁检测引擎及威胁情报,可对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截,包括命令执行、反弹shell、数据库攻击、挖矿木马、病毒蠕虫等。
漏洞虚拟补丁防护
云防火墙可联动云安全中心,发现您公网资产可被网络侧攻击利用的漏洞,并提供针对此类漏洞提供虚拟补丁攻击防御能力,包括零日漏洞等,及时防止漏洞被利用导致资产被入侵。
资产暴露风险管控
支持对互联网暴露资产的统一管理以及分析,包括EIP、ECS公网IP、SLB、ENI等公网暴露风险和流量,以及精细化管控和公网风险防御,降低公网风险暴露面。
多账号统一管理
云防火墙支持联动阿里云资源管理能力,帮助您实现多账号的资源集中安全管控,包括统一资产保护接入、统一配置安全策略、统一攻击防护、统一查看日志报表等,提升安全运维效率。
流量分析可视化
可视化分析展示所有公网IP流量信息及流量趋势图、出入流量访问Top统计数据等,以及跨VPC流量互访趋势图及分布,帮助您实时关注公网资产和内网资产护网的流量趋势和异常。
网络日志审计分析
云防火墙的所有流量会在日志审计分析记录,包括如流量日志、事件日志和操作日志,帮助您实时审计您的网络流量,如攻击防御payload日志和访问控制命中日志,帮助您实现审计和溯源。
云防火墙VS传统防火墙
| 功能 | 阿里云防火墙(云原生) | 传统防火墙 |
|---|---|---|
| 弹性扩展能力 | SaaS集群化,可随业务需求弹性扩展 | 设备堆叠,高可用与性能强依赖于虚拟设备,无法灵活扩展 |
| 易于维护运维 | 一键开启,即开即用,易于管理运维 | 云上构建物理架构,维护性差,同时增加更多网络侧故障点 |
| 云资产动态同步 | 云上网络资产实时动态同步,方便安全管控 | 无法有效识别云上网络资产属性画像 ,不方便安全管理 |
| 云产品安全协同 | 支持与云安全中心、云堡垒机、资源目录等协同 | 无法有效与云主机安全、云堡垒机、云网络产品有效协同 |
| 威胁情报共享 | 云防火墙支持云上亿级威胁情报共享,漏洞应急等 | 传统盒子为烟囪式部署,威胁攻击和防护割裂,无法有效共享 |
| 跨账号统一管理 | 支持互联网、跨VPC多账号统一安全管理 | 针对云上多账号集团式或多业务企业,无法跨账号统一管理 |
应用场景
公网资产防控必备安全能力
提供公网资产安全自动保护能力,结合全网威胁情报能力和虚拟补丁功能,有效防护针对您的公网资产的攻击行为。同时还提供了对公网资产的梳理以及对公网资产访问行为的管控。
能够解决
-
云上公网资产暴露风险从容应对云上资产对外暴露所面临的安全问题
-
策略规范问题
帮助您全面梳理外到内,内到外的访问策略
推荐搭配使用
云防火墙产品混合云解决方案
通过将云防火墙部署在多个VPC之间或者VPC与IDC之间,实现VPC之间的隔离管控与横向攻击防护,同时还可以支持VPC与IDC之间专线防护的混合云管控场景。
能够解决
-
VPC间的管控与防护
云防火墙可以帮助您检测和管控多个VPC间的通信流量
-
VPC-IDC互访安全风险
VPC间的管控与防护能力同样适用于VPC-IDC之间。
推荐搭配使用
帮助您顺利过等保
部署云防火墙能够满足等保2.0二级和三级中针对边界防护,访问控制,入侵防范,恶意代码和垃圾邮件防范,安全审计等特定的等保合规检查要求。
能够解决
-
企业过等保合规问题
部署云防火墙可以帮助企业满足《等保2.0》中有关区域边界防护,网络访问控制,网络入侵防范,流量安全审计等检查要求
推荐搭配使用
客户案例
多年来,阿里云提供了可靠且功能强大的产品和服务来支持我们的业务。 我们很高兴能够继续与阿里云合作,为我们的客户提供值得信赖的数字化解决方案,通过人工智能助力业务增长和效率提升!
Luan Huanbo 博士 | 6Estates 的创始人兼首席执行官 (CEO)
我们利用云防火墙的丰富功能(如访问控制、流量分析和入侵防御)。 该服务提供网络流量的实时监控,使我们能够轻松设置和实施安全策略。 它还有助于检测和缓解潜在的网络威胁,确保云环境的安全性和稳定性。
阿里云提供广泛多样的产品,如存储、计算、安全和网络,可满足我们的各种需求和期望。
Kan Tse | HRIS,周生生集团国际有限公司
为了确保安全、稳定、流畅的数字化体验,周生生采用阿里云基础产品的组合来存储、处理和提供对数据的访问。 周生生还使用多种安全产品,例如 Web 应用防火墙 (WAF)、云防火墙、堡垒机等产品,来维护和管理在线安全。
恒迈神州科技有限公司 (Hundsun & IHS Markit China) 很荣幸成为首批在阿里巴巴 FinCloud 上部署其核心银行应用系统的金融机构之一。 该公司希望通过测试更多服务并共同制定创新解决方案,继续与阿里云保持富有成效的合作伙伴关系。
恒迈神州科技有限公司采用了一系列阿里云安全产品和服务,包括 DDoS 防护、WAF、KMS、堡垒机和云防火墙。 该公司还与阿里云合规团队密切合作,以满足中国人民银行针对金融机构制定的IT法规要求。
通海金融 (Tonghai Financial) 计划未来将更多应用和系统迁移到阿里云。 通海金融的 IT 工程师现在可以更加专注于自己的工作,并最大限度地减少基础设施建设和硬件维护的工作量。
在阿里云的支持下,可以保证其 IT 基础设施的敏捷性和可扩展性。 阿里云的 DDoS 防护、云防火墙、安全中心等全方位安全解决方案增强了通海金融的安全态势,并且还有助于满足监管要求。
Kiplepay 期待作为战略合作伙伴和提供商与阿里云共同成长。 该公司希望继续为其用户和客户提供支付生态系统,增强他们对市场上 Kiplepay 的信心和信任。
Ricky Lew | Kiplepay Sdn. Bhd. 首席执行官
阿里云的云防火墙、Web 应用防火墙 (WAF) 和安全中心监控服务可保护 Kiplepay 的后端处理免受网络攻击,并有效处理漏洞和系统基线,从而实现顺畅的日常业务运营,提升用户体验。
阿里云提供动态扩展功能,可根据工作负载要求自动配置和取消配置云资源。 Key Links 希望利用这些功能来应对业务挑战,并选择阿里云作为其云合作伙伴。
Key Links 利用云防火墙来设置策略,保护其网络,并控制来自互联网的流量。 它还使用 Web 应用防火墙 (WAF) 服务来识别和缓解来自面向最终用户的界面的实时威胁,例如恶意流量。
