不同版本的功能差異 - Cloud Firewall

購買Cloud Firewall前，請根據業務需求、版本功能差異及成本選擇合適版本。瞭解各版本功能特性將協助您做出最佳決策。

重要

自2025年10月15日起，Cloud Firewall功能計費項目已更新到計費2.0版本，新購使用者預設採用計費2.0，此前已購買的使用者繼續使用計費方式1.0，並可自主升級至2.0。可以在舊版計費方式1.0與升級說明中查看計費1.0中的費用變化和計費2.0升級方式。

功能列表

下表介紹計費方式2.0下，不同Cloud Firewall版本支援的功能特性。

說明

：表示不支援該功能。
：表示支援該功能。

功能名稱	功能概述	按量版	進階版	企業版	旗艦版	相關文檔
總覽	提供Cloud Firewall的防禦能力總覽，展示資產接入保護統計、最近7天訪問流量統計資料和已防禦安全風險統計資料等。					資料總覽
總覽	展示Cloud Firewall防護的雲資產的可視化流量拓撲圖。					流量拓撲圖
防火牆開關	互連網邊界防火牆用於防護互連網和公網IP（含IPv4和IPv6）資產間的出入通訊流量。					互連網邊界防火牆
	NAT邊界防火牆用於防護私網IP資產通過NAT Gateway訪問互連網的流量。					NAT邊界防火牆
	VPC邊界防火牆用於防護Virtual Private Cloud（Virtual Private Cloud）之間、VPC和本機資料中心之間的流量。					VPC邊界防火牆
流量分析	主動外聯，即時監控公網和私網雲資產主動外聯訪問互連網的行為，及時發現異常流量。					主動外聯活動
	公網暴露，即時檢測檢Cloud Firewall防護的雲資產暴露在公網的IP地址、連接埠、應用情況，提供可視化分析報表。					公網暴露
	VPC互訪，即時監控互連的VPC之間的流量情況，協助您即時擷取VPC網路流量資料，及時發現和排查異常流量。					VPC互訪
攻擊防護	入侵防禦，即時主動式偵測和攔截駭客惡意攻擊、漏洞利用、暴力破解、蠕蟲、挖礦程式、後門木馬、DoS等惡意流量，保護雲上公司資訊系統和網路架構免受侵害。					入侵防禦
	漏洞防護，自動同步Security Center檢測到已接入Cloud Firewall公網資產存在的漏洞，並提供針對此類漏洞的攻擊防禦能力，實現漏洞檢測與防護閉環。					漏洞防護
	失陷感知，協助您實現檢測探索服務器被入侵事件，避免業務遭受重大損失。					失陷感知
	資料泄露，協助您及時檢測發現雲上資產主動外聯時，存在敏感性資料被泄露的情況以及風險payload，避免業務遭受損失。					資料泄露
	內建威脅檢測引擎，支援配置攻擊防護規則，實現更精準地識別和阻斷入侵風險。威脅引擎運行原理基礎防禦內建阿里雲安全攻防實戰中積累的入侵防禦規則，精準攔截惡意連接埠掃描，資料庫攻擊、反彈shell，遠程代碼執行，漏洞利用等雲上常見網路攻擊，避免伺服器被入侵等風險。虛擬補丁支援虛擬補丁，對熱門漏洞、高危0-day、N-day等的精準防護，無需在業務系統上安裝補丁, 及時防禦漏洞利用攻擊。威脅情報（進階版不支援）內建阿里雲全網的惡意IP、惡意網域名稱威脅情報庫（如惡意訪問源、掃描源、中控服務等），對未知威脅和入侵做到提前防禦，阻斷攻擊行為，防止大規模入侵。智能防禦使用人工智慧技術，結合海量攻擊資料和攻擊特徵，智能識別未知攻擊行為，提高對進階攻擊的檢測能力。防護白名單支援添加防護白名單，允許存取可能具有攻擊特徵的正常業務流量，保證業務正常運行。					IPS配置
存取控制	互連網邊界，支援公網資產的出向和入向流量4-7層存取控制（南北向），有效防止外部惡意攻擊，並嚴格控制主動外聯的出向流量，防止非可信外聯。					配置互連網邊界存取控制策略
	NAT邊界，支援對NAT前的私網IP外聯訪問公網的流量進行4-7層存取控制（南北向），有效攔截內部網路到公網的未授權訪問。					配置NAT邊界存取控制策略
	VPC邊界，支援雲上跨不同VPC間、VPC和本機資料中心或三方雲之間流量的存取控制（東西向），阻斷內部未授權的流量訪問，允許存取可信流量。					配置VPC邊界存取控制策略
	主機邊界，支援ECS執行個體間的入流量和出流量的存取控制，限制ECS執行個體間的未授權訪問。					主機邊界防火牆
	安全性群組檢查，支援ECS伺服器安全性群組中的高危風險規則檢測，並提供修複建議，協助您更安全、更高效地使用安全性群組功能。					安全性群組檢查
	地址簿管理，支援自訂地址簿、雲端服務地址簿和威脅情報地址簿，您可以將多IP地址、連接埠或網域名稱統一添加到地址簿中，並在存取控制策略中一鍵引用和自動更新，提高存取控制策略效率。					地址簿管理
同步節點	ACK叢集同步節點：專為ACK容器環境設計，支援動態採集Pod IP地址並更新至地址簿，解決因IP頻繁變化導致的存取控制難題，顯著減少手動設定工作量，提升安全性與管理效率。	上限 5 個	上限 2 個	上限 5 個	上限 10 個	ACK叢集
同步節點	私人DNS同步節點：適用企業內部採用Private Zone或者自建DNS伺服器，配置了PaaS或主機等服務應用內網網域名稱解析記錄，Cloud Firewall可以通過私人DNS同步節點，自動擷取對應網域名稱與IP映射關係，並用於網域名稱應用存取控制策略。	上限 5 個	上限 2 個	上限 5 個	上限 10 個	私人 DNS
日誌監控	日誌審計，預設提供7天日誌審計功能，便於您進行事件回溯、故障排查等。支援審計的日誌類型事件記錄：記錄經過Cloud Firewall的流量匹配到存取控制策略的事件情況。支援查看流量的時間、威脅類型、源IP、目的IP、應用類型、嚴重性等級等資訊。流量日誌：記錄所有經過Cloud Firewall的流量資料。您可以在威脅事件發生時通過流量日誌分析流量和訪問源，並查看配置的存取控制策略是否生效。動作記錄：記錄使用者針對Cloud Firewall的所有配置和操作，例如開啟或關閉防火牆、修改入侵防禦配置等。					日誌審計
日誌監控	日誌分析，即時地自動採集、儲存和進階分析全部接入Cloud Firewall的流量日誌，儲存時間長度可自訂7~730天，同時可自訂投遞開關；支援基於特定指標，定製即時的監測與警示，確保在關鍵業務發生異常時能夠及時響應。					日誌分析
業務可視	支援通過自訂分組建立雲資產的應用和應用組、業務區之間的關係。支援業務可視，協助您全面瞭解雲資產的資訊和訪問關係。					自訂分組安全性群組可視應用分組可視
多帳號統一管理	支援多帳號統一管理，協助您實現多個帳號下的資源共用及流量安全訪問。					多帳號統一管理
警示通知	在資產出現流量異常、主機失陷、異常外聯活動、漏洞風險、未開啟保護、未開啟入侵防護時，您可以及時通過簡訊或郵件收到通知。					警示通知

功能列表

相關文檔