阿里云安全产品云防火墙是什么？有什么作用？

阿里云云防火墙（Cloud Firewall）是一款公共云环境下的SaaS化防火墙，可统一管理南北向和东西向的流量，提供流量监控、精准访问控制、实时入侵防御等功能，全面保护您的网络边界。可提供统一的互联网边界、内网VPC边界、主机边界流量管控与安全防护，包括结合情报的实时入侵防护、全流量可视化分析、智能化访问控制、日志溯源分析等能力，是您的网络边界防护与等保合规利器。

阿里云云防火墙最新优惠：

• 云防火墙高级版支持1个月起购
• 小型企业云防火墙按量版0元开通

详情参考：https://www.aliyun.com/product/cfw

阿里云云防火墙功能概述

云防火墙主要包含互联网边界防火墙、VPC边界防火墙、主机边界防火墙，为您提供互联网、虚拟网络、主机三种边界防护。
1、互联网边界防火墙
互联网边界防火墙作用于互联网边界，对所有公网IP统一管控。

2、主机边界防火墙
主机防火墙对应安全组，对ECS间通信进行管控。

3、VPC边界防火墙
VPC边界防火墙作用于VPC边界，对云企业网和高速通道流量进行管控。

阿里云云防火墙使用场景说明

互联网边界、主机边界防火墙和VPC边界防火墙配合使用，可以精细化地管控数据访问行为，同时也组成了互联网边界-虚拟网络边界-主机边界三层纵深防御体系。
1、满足精细化的访问控制需求
云防火墙提供集中式的访问控制，也就是出方向、入方向访问控制策略，提供了应用、域名等精细化访问控制策略。
云防火墙可以统一管控所有VPC、所有区域，并提供观察模式、地址簿等优化策略配置功能，配置相对简单。

2、满足微隔离的访问控制需求
云防火墙提供分布式的访问控制，目前底层利用的是安全组能力，同时提供所有内部流量的可视能力，帮助您优化内对内策略。
同时，为您提供策略的观察模式、拦截访问分析、智能策略等能力。

阿里云云防火墙产品功能

1、精细化访问控制
可统一管理互联网到业务的访问控制策略（南北向）和业务与业务之间的微隔离策略（东西向），提供流量监控、精准访问控制、实时入侵防御等功能，支持全网流量可视和业务间访问关系可视，全面保护您的网络安全。

2、资产暴露管理
支持对互联网暴露资产的统一管理以及分析，资产包括：开放公网IP、开放端口、开放应用、云产品； 详情包括：公网IP、资产实例、应用、端口、7日流量占比、风险评估、协议（云产品）、健康状态（云产品）、所属可用区（云产品）等。

3、安全正向代理
提供安全正向代理，对NAT网关出公网的流量进行防护。NAT网关访问互联网的流量会先经过云防火墙安全正向代理，实现对内网IP访问互联网的流量进行访问控制和防护。

4、入侵检测与防御IPS
云防火墙内置了威胁检测引擎，可对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截，并提供精准的威胁检测虚拟补丁，智能阻断入侵风险。

5、主动外连检测与封禁
支持云内资源的主动外联网络侧检测，协助客户判断恶意外连请求。主动外联功能向您实时展示主机的主动外联数据，帮助您及时发现可疑主机。

6、流量可视化
支持全网流量可视和业务间访问关系可视。

7、网络日志审计
通过云防火墙的所有流量会在日志审计页面记录下来，包括流量日志、事件日志和操作日志，帮助您实时审计您的网络流量，并为您对可疑流量进行相应的处理提供依据。

阿里云云防火墙防护范围

云防火墙可以防护以下云资产或流量：
1、互联网边界防火墙（南北向）
ECS公网IP、SLB EIP、SLB公网IP、HAVIP、EIP、ECS EIP、ENI EIP、NAT EIP、SLB IPv6、ECS IPv6、堡垒机IP资产。

2、VPC边界防火墙（东西向）

• 企业版转发路由器的VPC边界防火墙

同地域多个专有网络VPC（Virtual Private Cloud）互访的流量。
通过企业版转发路由器TR（Transit Router）实现跨地域多个VPC互访的流量。
VPC和边界路由器VBR（Virtual Border Router）互访的流量（即VPC和本地数据中心IDC互访的流量）。
VPC和云连接网CCN（Cloud Connect Network）互访的流量。
多个VBR互访的流量。
CCN和VBR互访的流量。

• 基础版转发路由器的VPC边界防火墙

同地域多个专有网络VPC（Virtual Private Cloud）互访的流量。
通过基础版转发路由器TR（Transit Router）实现跨地域多个VPC互访的流量。
VPC和边界路由器VBR（Virtual Border Router）互访的流量（即VPC和本地数据中心IDC互访的流量）。
VPC和云连接网CCN（Cloud Connect Network）互访的流量。

• 高速通道VPC边界防火墙

高速通道连接专有网络VPC（Virtual Private Cloud）模式下，同账号同地域多个VPC互访的流量。
VPC对等连接模式下，同地域多个VPC互访的流量。
主机边界防火墙：ECS实例之间的流量。

阿里云云防火墙推荐配置

根据网络边界配置防火墙，便于逻辑分层，同时也方便后续维护。
1、公网防护需求
如果您只有公网流量防护需求，就只需要在互联网边界防火墙处配置即出方向或入方向访问控制策略。

2、主机防护需求
如果您在防护公网流量的同时，还需要防护主机（ECS）之间的流量，可以将互联网边界防火墙和主机边界防火墙配合使用，即配置互联网边界防火墙访问控制策略的同时，再在主机边界防火墙处配置策略组访问控制策略。

3、跨VPC&云上云下防护需求
如果您在防护公网流量的同时，还需要防护VPC之间、VPC与IDC之间的流量，可以将互联网边界防火墙和VPC边界防火墙配合使用，即配置互联网边界防火墙访问控制策略的同时，再在VPC边界防火墙处配置访问控制策略。