Cloud Firewall(Cloud Firewall)協助您在雲上實現業務隔離和防護,確保業務安全且滿足合規要求。本文介紹如何更好地使用Cloud Firewall為您的業務提供防護保障。
產品選型概述
基於業務類型、網路規模、業務管理等因素的影響,一般企業上雲後的安全域處於預設模式,這樣就會導致隨著業務的發展,業務網路架構變得混亂。例如,開放了不必要的連接埠發布到互連網、內部通訊存取權限太大等。如果業務被惡意入侵,會存在很大的安全隱患。所以需要企業更多的關注云上的安全域規劃。
網路安全域類似酒店,每個不同的入住客人可以入住不同的樓層和房間,互不干擾。在實際的IT業務環境中,資料庫伺服器與供客戶訪問的Web伺服器顯然不是一個安全等級,測試環境的伺服器與正式提供服務的生產伺服器也不是一個安全等級。因此,我們要對相應的業務資產從業務功能、通訊關係等方面劃分安全域。
通過Cloud Firewall實現雲上安全域隔離的防護方案
情境一:防護互連網入向流量安全
防護原則:保證靈活性、Auto Scaling能力和安全性。
配置建議:
配置Cloud Firewall互連網邊界防火牆管控公網入向流量。
可選:配置統一隔離區DMZ(Demilitarized Zone)VPC,搭配Elastic IP Address(簡稱EIP)、Server Load Balancer、ECS公網等提供互連網入向串連。
情境二:防護互連網出向流量安全
防護原則:保證靈活性、Auto Scaling能力和安全性。
配置建議:
配置Cloud Firewall互連網邊界防火牆和NAT邊界防火牆管控公網和私網出向流量。
可選:配置統一隔離區DMZ(Demilitarized Zone)VPC或不同業務VPC,搭配Elastic IP Address(簡稱EIP)、NAT Gateway等,以提供互連網出向串連。
情境三:防護雲上東西向流量安全
防護原則:環境隔離,必要的連通同時保證安全。
配置建議:
配置雲企業網,推薦企業版轉寄路由器,綁定VPC實現雲上網路執行個體互聯,或綁定VBR實現跨雲互聯互訪。
配置Cloud FirewallVPC邊界防火牆實現雲上跨VPC或跨雲業務流量安全,包括4~7層存取控制和橫向攻擊防護和審計溯源。
配置Cloud Firewall主機邊界防火牆實現VPC內微隔離。
情境四:防護雲上資產與IDC機房互訪流量安全
防護原則:雲上資產與本地機房互訪互連,同時保證安全。
配置建議:
配置雲企業網或Express Connect,本地IDC機房通過VBR接入雲企業網或Express Connect與雲上VPC業務區實現互訪。
配置VPC邊界防火牆實現本地IDC機房與雲上VPC業務區之間的異常流量監控、4~7層精細化存取控制策略、橫向攻擊防護、日誌審計等。
通過Cloud Firewall實現安全域隔離的組網結構
大型集團
大型集團業務,會將生產網的安全域分為集團安全域、子分公司安全域等。集團安全域又劃分為生產網外網區、內網區和生產網DMZ區。生產內網的安全域又會根據業務類型的不同分為普通業務安全域、核心業務安全域、資料庫安全域等。
小型公司
小型公司會根據業務類型、功能模組、網路通訊關係等維度,劃分為普通業務安全、核心業務安全域、資料安全域、DMA安全域(郵件系統、門戶網站)等。
版本選型-多維度對比參考
在進行Cloud Firewall版本選型之前,您需要瞭解Cloud Firewall的防護範圍,以便您匹配當前業務需求。具體內容,請參見防護範圍。
Cloud Firewall的計費分為隨用隨付(含按量節省套餐包)和訂用帳戶兩種形式,其中訂用帳戶又分為進階版、企業版和旗艦版三個版本,每個版本支援的功能、資產、頻寬擴充規格不同。
您可以參看如下多維度對比表格說明選擇合適的版本。更多資訊,請參見功能特性。