阿里云安全产品云防火墙是什么?有什么作用?

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
访问控制,不限时长
日志服务 SLS,月写入数据量 50GB 1个月
简介: 阿里云云防火墙(Cloud Firewall)是一款公共云环境下的SaaS化防火墙,可统一管理南北向和东西向的流量,提供流量监控、精准访问控制、实时入侵防御等功能,全面保护您的网络边界。本文主要介绍了云防火墙产品功能、防护范围和使用场景及推荐配置。

阿里云云防火墙(Cloud Firewall)是一款公共云环境下的SaaS化防火墙,可统一管理南北向和东西向的流量,提供流量监控、精准访问控制、实时入侵防御等功能,全面保护您的网络边界。可提供统一的互联网边界、内网VPC边界、主机边界流量管控与安全防护,包括结合情报的实时入侵防护、全流量可视化分析、智能化访问控制、日志溯源分析等能力,是您的网络边界防护与等保合规利器。
云防火墙定位全景.png

阿里云云防火墙最新活动:
  • 云防火墙高级版支持1个月起购
  • 小型企业云防火墙按量版0元开通
  • 优惠活动云防火墙等保套餐优惠活动

产品详情进入:https://www.aliyun.com/product/cfw
云防火墙优惠图.png

阿里云云防火墙功能概述

云防火墙主要包含互联网边界防火墙、VPC边界防火墙、主机边界防火墙,为您提供互联网、虚拟网络、主机三种边界防护。
1、互联网边界防火墙
互联网边界防火墙作用于互联网边界,对所有公网IP统一管控。

2、主机边界防火墙
主机防火墙对应安全组,对ECS间通信进行管控。

3、VPC边界防火墙
VPC边界防火墙作用于VPC边界,对云企业网和高速通道流量进行管控。

阿里云云防火墙使用场景说明

互联网边界、主机边界防火墙和VPC边界防火墙配合使用,可以精细化地管控数据访问行为,同时也组成了互联网边界-虚拟网络边界-主机边界三层纵深防御体系。
1、满足精细化的访问控制需求
云防火墙提供集中式的访问控制,也就是出方向、入方向访问控制策略,提供了应用、域名等精细化访问控制策略。
云防火墙可以统一管控所有VPC、所有区域,并提供观察模式、地址簿等优化策略配置功能,配置相对简单。

2、满足微隔离的访问控制需求
云防火墙提供分布式的访问控制,目前底层利用的是安全组能力,同时提供所有内部流量的可视能力,帮助您优化内对内策略。
同时,为您提供策略的观察模式、拦截访问分析、智能策略等能力。

阿里云云防火墙产品功能

1、精细化访问控制
可统一管理互联网到业务的访问控制策略(南北向)和业务与业务之间的微隔离策略(东西向),提供流量监控、精准访问控制、实时入侵防御等功能,支持全网流量可视和业务间访问关系可视,全面保护您的网络安全。

2、资产暴露管理
支持对互联网暴露资产的统一管理以及分析,资产包括:开放公网IP、开放端口、开放应用、云产品; 详情包括:公网IP、资产实例、应用、端口、7日流量占比、风险评估、协议(云产品)、健康状态(云产品)、所属可用区(云产品)等。

3、安全正向代理
提供安全正向代理,对NAT网关出公网的流量进行防护。NAT网关访问互联网的流量会先经过云防火墙安全正向代理,实现对内网IP访问互联网的流量进行访问控制和防护。

4、入侵检测与防御IPS
云防火墙内置了威胁检测引擎,可对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截,并提供精准的威胁检测虚拟补丁,智能阻断入侵风险。

5、主动外连检测与封禁
支持云内资源的主动外联网络侧检测,协助客户判断恶意外连请求。主动外联功能向您实时展示主机的主动外联数据,帮助您及时发现可疑主机。

6、流量可视化
支持全网流量可视和业务间访问关系可视。

7、网络日志审计
通过云防火墙的所有流量会在日志审计页面记录下来,包括流量日志、事件日志和操作日志,帮助您实时审计您的网络流量,并为您对可疑流量进行相应的处理提供依据。

阿里云云防火墙防护范围

云防火墙可以防护以下云资产或流量:
1、互联网边界防火墙(南北向)
ECS公网IP、SLB EIP、SLB公网IP、HAVIP、EIP、ECS EIP、ENI EIP、NAT EIP、SLB IPv6、ECS IPv6、堡垒机IP资产。

2、VPC边界防火墙(东西向)

  • 企业版转发路由器的VPC边界防火墙

同地域多个专有网络VPC(Virtual Private Cloud)互访的流量。
通过企业版转发路由器TR(Transit Router)实现跨地域多个VPC互访的流量。
VPC和边界路由器VBR(Virtual Border Router)互访的流量(即VPC和本地数据中心IDC互访的流量)。
VPC和云连接网CCN(Cloud Connect Network)互访的流量。
多个VBR互访的流量。
CCN和VBR互访的流量。

  • 基础版转发路由器的VPC边界防火墙

同地域多个专有网络VPC(Virtual Private Cloud)互访的流量。
通过基础版转发路由器TR(Transit Router)实现跨地域多个VPC互访的流量。
VPC和边界路由器VBR(Virtual Border Router)互访的流量(即VPC和本地数据中心IDC互访的流量)。
VPC和云连接网CCN(Cloud Connect Network)互访的流量。

  • 高速通道VPC边界防火墙

高速通道连接专有网络VPC(Virtual Private Cloud)模式下,同账号同地域多个VPC互访的流量。
VPC对等连接模式下,同地域多个VPC互访的流量。
主机边界防火墙:ECS实例之间的流量。

阿里云云防火墙推荐配置

根据网络边界配置防火墙,便于逻辑分层,同时也方便后续维护。
1、公网防护需求
如果您只有公网流量防护需求,就只需要在互联网边界防火墙处配置即出方向或入方向访问控制策略。

2、主机防护需求
如果您在防护公网流量的同时,还需要防护主机(ECS)之间的流量,可以将互联网边界防火墙和主机边界防火墙配合使用,即配置互联网边界防火墙访问控制策略的同时,再在主机边界防火墙处配置策略组访问控制策略。

3、跨VPC&云上云下防护需求
如果您在防护公网流量的同时,还需要防护VPC之间、VPC与IDC之间的流量,可以将互联网边界防火墙和VPC边界防火墙配合使用,即配置互联网边界防火墙访问控制策略的同时,再在VPC边界防火墙处配置访问控制策略。

相关文章
|
4月前
|
安全 Linux 应用服务中间件
在Linux中,包过滤防火墙与代理应用防火墙有什么区别?有哪些相应的产品?
在Linux中,包过滤防火墙与代理应用防火墙有什么区别?有哪些相应的产品?
|
2月前
|
开发框架 缓存 Ubuntu
dotnet开发框架+ubuntu防火墙命令+win11设置自动登录+阿里云短信发送限制
dotnet开发框架+ubuntu防火墙命令+win11设置自动登录+阿里云短信发送限制
43 3
|
5月前
|
SQL 监控 关系型数据库
PolarDB产品使用问题之SQL防火墙怎么拦截没有指定WHERE条件的特定表的SQL语
PolarDB产品使用合集涵盖了从创建与管理、数据管理、性能优化与诊断、安全与合规到生态与集成、运维与支持等全方位的功能和服务,旨在帮助企业轻松构建高可用、高性能且易于管理的数据库环境,满足不同业务场景的需求。用户可以通过阿里云控制台、API、SDK等方式便捷地使用这些功能,实现数据库的高效运维与持续优化。
|
5月前
|
安全 API 开发者
|
5月前
|
监控 网络安全 定位技术
|
6月前
|
存储 监控 安全
《阿里云产品四月刊》—云防火墙 新功能
阿里云瑶池数据库云原生化和一体化产品能力升级,多款产品更新迭代
|
7月前
|
SQL 监控 安全
【阿里云云原生专栏】云原生安全体系构建:阿里云云防火墙与WAF的应用
【5月更文挑战第27天】阿里云云防火墙和WAF是构建云原生安全体系的关键产品,提供网络、主机和Web应用多维度防护。云防火墙采用分布式架构抵御网络攻击,确保应用安全稳定;WAF专注Web应用安全,防止SQL注入、XSS和DDoS等威胁。简单部署配置,结合使用可实现全面安全防护,提升企业云上应用安全性,保障业务安全运行。未来,阿里云将持续强化云原生安全建设。
350 1
|
6月前
|
弹性计算 人工智能 供应链
云服务器 ECS产品使用问题之端口已加入安全组,但是端口不通,同时服务器已关闭防火墙,是什么导致的
云服务器ECS(Elastic Compute Service)是各大云服务商阿里云提供的一种基础云计算服务,它允许用户租用云端计算资源来部署和运行各种应用程序。以下是一个关于如何使用ECS产品的综合指南。
|
7月前
|
云安全 数据采集 安全
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
阿里云提供两种关键安全产品:Web应用防火墙和云防火墙。Web应用防火墙专注网站安全,防护Web攻击、CC攻击和Bot防御,具备流量管理、大数据防御能力和简易部署。云防火墙是SaaS化的网络边界防护,管理南北向和东西向流量,提供访问控制、入侵防御和流量可视化。两者结合可实现全面的网络和应用安全。
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
|
7月前
|
SQL 监控 安全
网络安全产品之认识WEB应用防火墙
随着B/S架构的广泛应用,Web应用的功能越来越丰富,蕴含着越来越有价值的信息,应用程序漏洞被恶意利用的可能性越来越大,因此成为了黑客主要的攻击目标。传统防火墙无法解析HTTP应用层的细节,对规则的过滤过于死板,无法为Web应用提供足够的防护。为了解决上述问题,WAF应运而生。它通过执行一系列针对HTTP、HTTPS的安全策略,专门对Web应用提供保护。
156 1