Cloud Firewall產品介紹 - Cloud Firewall

阿里雲Cloud Firewall是一款雲平台SaaS（Software as a Service）化的防火牆，可針對您雲上網路資產的互連網邊界、VPC邊界及主機邊界實現三位一體的統一安全隔離管控，是您業務上雲的第一道網路防線。

Cloud Firewall定位全景

功能概述

互連網邊界防火牆

支援精細化管控業務公網資產出入互連網的訪問流量，降低公網資產暴露風險。內建威脅防禦模組，支援失陷主機檢測、外聯阻斷和訪問關係可視化等功能。使用叢集化部署方式，無需複雜配置，支援一鍵開啟防護，並支援效能擴充。

NAT邊界防火牆

VPC資源通過NAT Gateway訪問互連網時，可能面臨未授權訪問、資料泄露、惡意流量攻擊等安全風險。開啟NAT邊界防火牆可攔截未授權流量。

VPC邊界防火牆

檢測和管控通過雲企業網的企業版轉寄路由器、基礎版轉寄路由器以及Express Connect打通的Virtual Private Cloud之間、VPC和本機資料中心之間的東西向流量，實現雲上跨VPC之間、VPC與本機資料中心（VBR）、VPC到三方雲（VBR）、VPC與VPN之間內網訪問流量安全。

主機邊界防火牆

支援託管ECS安全性群組，管控VPC內ECS執行個體流量。存取控制策略自動同步至ECS安全性群組生效。支援安全性群組合規檢查和微隔離可視化。

防護範圍

防護範圍

說明

相關文檔

防護的雲資產和流量

Cloud Firewall可以防護以下雲資產或流量：

互連網邊界防火牆（南北向）：如ECS、EIP（含L2 EIP）、負載平衡類資產、Bastionhost、NAT、HaVip、GA EIP等IPv4和IPv6資產。

點擊查看可防護的詳細資產類型

IPv4

IPv6

ALB EIP
Bastionhost出口IP
Bastionhost IP
Bastionhost入口IP
EIP
ECS EIP
ECS 公網IP
ENI EIP
GA EIP
說明
- 該加速IP所屬GA執行個體必須為標準型執行個體。
- 加速IP類型必須為Elastic IP Address類型。
- 該加速IP所屬加速地區不能為阿里雲POP點。
  查看加速地區是否為阿里雲POP點，請參見ListAvailableBusiRegions。
HAVIP
NAT EIP
NAT 公網IP
NLB EIP
SLB EIP
SLB 公網IP

ALB IPv6
ECS IPv6
ENI EIP IPv6
GA EIP IPv6
說明
- 該加速IP所屬GA執行個體必須為標準型執行個體。
- 加速IP類型必須為Elastic IP Address類型。
- 該加速IP所屬加速地區不能為阿里雲POP點。
  查看加速地區是否為阿里雲POP點，請參見ListAvailableBusiRegions。
NLB IPv6
SLB IPv6

NAT邊界防火牆：私網訪問公網的流量。
VPC邊界防火牆（東西向）：
- 企業版轉寄路由器的VPC邊界防火牆
  - 同地區多個Virtual Private Cloud（Virtual Private Cloud）互訪的流量。
  - 通過企業版轉寄路由器TR（Transit Router）實現跨地區多個VPC互訪的流量。
  - VPC和邊界路由器VBR（Virtual Border Router）互訪的流量（即VPC和本機資料中心IDC互訪的流量）。
  - VPC和雲串連網CCN（Cloud Connect Network）互訪的流量。
  - 多個VBR互訪的流量。
  - CCN和VBR互訪的流量。
- 基礎版轉寄路由器的VPC邊界防火牆
  - 同地區多個Virtual Private Cloud（Virtual Private Cloud）互訪的流量。
  - 通過基礎版轉寄路由器TR（Transit Router）實現跨地區多個VPC互訪的流量。
  - VPC和邊界路由器VBR（Virtual Border Router）互訪的流量（即VPC和本機資料中心IDC互訪的流量）。
  - VPC和雲串連網CCN（Cloud Connect Network）互訪的流量。
- Express ConnectVPC邊界防火牆
  - Express Connect串連Virtual Private Cloud（Virtual Private Cloud）模式下，同帳號同地區多個VPC互訪的流量。
  - VPC對等串連模式下，同地區多個VPC互訪的流量。
主機邊界防火牆：對ECS執行個體的出入流量進行存取控制。

說明

由於歷史網路架構的原因，少量公網SLB不支援Cloud Firewall引流，推薦您採用私網SLB加EIP的方案，將流量牽引到Cloud Firewall上進行防護。

支援的雲網路類型

VPC網路：全面支援阿里雲VPC網路。
傳統網路：支援互連網邊界防火牆和威脅入侵檢測（IPS）功能。主機邊界防火牆支援防護VPC間的流量，不支援防護傳統網路。

支援的地區

Cloud Firewall支援的地區資訊。

支援的地區

版本介紹

Cloud Firewall提供免費版、按量版、進階版、企業版和旗艦版，以下為您介紹不同版本的主要區別。關於各版本具體的防護能力，請參見功能特性。

版本名稱	能力說明	付費模式
按量版	Cloud Firewall按量版支援防護公網資產，具備雲上網路攻擊感知概覽、互連網存取控制策略配置、攻擊防護、資產異常情況通知等能力，可以為公網資產提供可靠的安全防護。	隨用隨付模式，即先使用後付費的計費方式。隨用隨付靈活適配業務需求，適用於業務用量變化頻繁、資源使用有臨時性和突發性等情境。
進階版	Cloud Firewall進階版支援防護公網資產，具備雲上網路流量分析防護、互連網流量訪問管控、網路攻擊防護、日誌分析、多帳號統一管理、資產異常通知等能力。	訂用帳戶模式，即先付費後使用的計費方式。相比於隨用隨付模式，訂用帳戶可以提前預留資源，並且享受更低價格，適用於業務穩定、需要長期使用資源等情境。
企業版	Cloud Firewall企業版支援防護公網資產、VPC資產和主機資產，具備雲上網路流量分析防護、互連網和內網流量訪問管控、網路攻擊防護、日誌分析、多帳號統一管理、資產異常通知等能力。 Cloud Firewall企業版覆蓋了Cloud Firewall進階版的全部能力，同時提供跨VPC網路安全防禦、安全性群組統一管理與可視化等增值服務。
旗艦版	Cloud Firewall旗艦版覆蓋了Cloud Firewall企業版的全部能力，相較於企業版，旗艦版具有更強的防護能力。

合規認證

Cloud Firewall已通過ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 29151、ISO 27701、BS 10012、CSA STAR、PCI DSS認證。

聯絡我們

如果您在購買或試用Cloud Firewall時遇到售前問題，請通過工單聯絡產品技術專家進行諮詢。