云防火墙：云防火墙各版本支持的功能特性

功能名称

功能概述

免费版

按量版

高级版

企业版

旗舰版

相关文档

总览

提供云防火墙的防御能力总览，展示资产接入保护统计、最近7天访问流量统计数据和已防御安全风险统计数据等。

数据总览

展示云防火墙防护的云资产的可视化流量拓扑图。

流量拓扑图

防火墙开关

互联网边界防火墙用于防护互联网和公网IP（含IPv4和IPv6）资产间的出入通信流量。

互联网边界防火墙

NAT边界防火墙用于防护私网IP资产通过NAT网关访问互联网的流量。

NAT边界防火墙

VPC边界防火墙用于防护专有网络VPC（Virtual Private Cloud）之间、VPC和本地数据中心之间的流量。

VPC边界防火墙

流量分析

主动外联，实时监控公网和私网云资产主动外联访问互联网的行为，及时发现异常流量。

主动外联活动

公网暴露，实时检测检云防火墙防护的云资产暴露在公网的IP地址、端口、应用情况，提供可视化分析报表。

公网暴露

VPC互访，实时监控互通的VPC之间的流量情况，帮助您实时获取VPC网络流量数据，及时发现和排查异常流量。

VPC互访

攻击防护

入侵防御，实时主动检测和拦截黑客恶意攻击、漏洞利用、暴力破解、蠕虫病毒、挖矿程序、后门木马、DoS等恶意流量，保护云上企业信息系统和网络架构免受侵害。

入侵防御

漏洞防护，自动同步云安全中心检测到已接入云防火墙公网资产存在的漏洞，并提供针对此类漏洞的攻击防御能力，实现漏洞检测与防护闭环。

漏洞防护

失陷感知，帮助您实现检测发现服务器被入侵事件，避免业务遭受重大损失。

失陷感知

数据泄露，帮助您及时检测发现云上资产主动外联时，存在敏感数据被泄露的情况以及风险payload，避免业务遭受损失。

数据泄露

内置威胁检测引擎，支持配置攻击防护规则，实现更精准地识别和阻断入侵风险。

IPS配置

访问控制

互联网边界，支持公网资产的出向和入向流量4-7层访问控制（南北向），有效防止外部恶意攻击，并严格控制主动外联的出向流量，防止非可信外联。

配置互联网边界访问控制策略

NAT边界，支持对NAT前的私网IP外联访问公网的流量进行4-7层访问控制（南北向），有效拦截内部网络到公网的未授权访问。

配置NAT边界访问控制策略

VPC边界，支持云上跨不同VPC间、VPC和本地数据中心或三方云之间流量的访问控制（东西向），阻断内部未授权的流量访问，放行可信流量。

配置VPC边界访问控制策略

主机边界，支持ECS实例间的入流量和出流量的访问控制，限制ECS实例间的未授权访问。

主机边界防火墙

安全组检查，支持ECS服务器安全组中的高危风险规则检测，并提供修复建议，帮助您更安全、更高效地使用安全组功能。

安全组检查

地址簿管理，支持自定义地址簿、云服务地址簿和威胁情报地址簿，您可以将多IP地址、端口或域名统一添加到地址簿中，并在访问控制策略中一键引用和自动更新，提高访问控制策略效率。

地址簿管理

同步节点

ACK集群同步节点：专为ACK容器环境设计，支持动态采集Pod IP地址并更新至地址簿，解决因IP频繁变化导致的访问控制难题，显著减少手动配置工作量，提升安全性与管理效率。

ACK集群

私有DNS同步节点：适用企业内部采用Private Zone或者自建DNS服务器，配置了PaaS或主机等服务应用内网域名解析记录，云防火墙可以通过私有DNS同步节点，自动获取对应域名与IP映射关系，并用于域名应用访问控制策略。

私有 DNS

日志监控

日志审计，默认提供7天日志审计功能，便于您进行事件回溯、故障排查等。

日志审计

日志分析，实时地自动采集、存储和高级分析全部接入云防火墙的流量日志，存储时长可自定义7~730天，同时可自定义投递开关；支持基于特定指标，定制实时的监测与告警，确保在关键业务发生异常时能够及时响应。

日志分析

业务可视

支持通过自定义分组建立云资产的应用和应用组、业务区之间的关系。

支持业务可视，帮助您全面了解云资产的信息和访问关系。

自定义分组

安全组可视

应用分组可视

多账号统一管理

支持多账号统一管理，帮助您实现多个账号下的资源共享及流量安全访问。

多账号统一管理

告警通知

在资产出现流量异常、主机失陷、异常外联活动、漏洞风险、未开启保护、未开启入侵防护时，您可以及时通过短信或邮件收到通知。

告警通知