云防火墙(Cloud Firewall)帮助您在云上实现业务隔离和防护,确保业务安全且满足合规要求。本文介绍如何更好地使用云防火墙为您的业务提供防护保障。
产品选型概述
基于业务类型、网络规模、业务管理等因素的影响,一般企业上云后的安全域处于默认模式,这样就会导致随着业务的发展,业务网络架构变得混乱。例如,开放了不必要的端口发布到互联网、内部通信访问权限太大等。如果业务被恶意入侵,会存在很大的安全隐患。所以需要企业更多的关注云上的安全域规划。
网络安全域类似酒店,每个不同的入住客人可以入住不同的楼层和房间,互不干扰。在实际的IT业务环境中,数据库服务器与供客户访问的Web服务器显然不是一个安全等级,测试环境的服务器与正式提供服务的生产服务器也不是一个安全等级。因此,我们要对相应的业务资产从业务功能、通信关系等方面划分安全域。
通过云防火墙实现云上安全域隔离的防护方案
场景一:防护互联网入向流量安全
防护原则:保证灵活性、弹性伸缩能力和安全性。
配置建议:
配置云防火墙互联网边界防火墙管控公网入向流量。
可选:配置统一隔离区DMZ(Demilitarized Zone)VPC,搭配弹性公网IP(简称EIP)、负载均衡SLB、ECS公网等提供互联网入向连接。
场景二:防护互联网出向流量安全
防护原则:保证灵活性、弹性伸缩能力和安全性。
配置建议:
配置云防火墙互联网边界防火墙和NAT边界防火墙管控公网和私网出向流量。
可选:配置统一隔离区DMZ(Demilitarized Zone)VPC或不同业务VPC,搭配弹性公网IP(简称EIP)、NAT网关等,以提供互联网出向连接。
场景三:防护云上东西向流量安全
防护原则:环境隔离,必要的连通同时保证安全。
配置建议:
配置云企业网,推荐企业版转发路由器,绑定VPC实现云上网络实例互联,或绑定VBR实现跨云互联互访。
配置云防火墙VPC边界防火墙实现云上跨VPC或跨云业务流量安全,包括4~7层访问控制和横向攻击防护和审计溯源。
配置云防火墙主机边界防火墙实现VPC内微隔离。
场景四:防护云上资产与IDC机房互访流量安全
防护原则:云上资产与本地机房互访互通,同时保证安全。
配置建议:
配置云企业网或高速通道,本地IDC机房通过VBR接入云企业网或高速通道与云上VPC业务区实现互访。
配置VPC边界防火墙实现本地IDC机房与云上VPC业务区之间的异常流量监控、4~7层精细化访问控制策略、横向攻击防护、日志审计等。
通过云防火墙实现安全域隔离的组网结构
大型集团
大型集团业务,会将生产网的安全域分为集团安全域、子分公司安全域等。集团安全域又划分为生产网外网区、内网区和生产网DMZ区。生产内网的安全域又会根据业务类型的不同分为普通业务安全域、核心业务安全域、数据库安全域等。
小型公司
小型公司会根据业务类型、功能模块、网络通信关系等维度,划分为普通业务安全、核心业务安全域、数据安全域、DMA安全域(邮件系统、门户网站)等。
版本选型-多维度对比参考
在进行云防火墙版本选型之前,您需要了解云防火墙的防护范围,以便您匹配当前业务需求。具体内容,请参见防护范围。
云防火墙的计费分为按量付费(含按量节省套餐包)和包年包月两种形式,其中包年包月又分为高级版、企业版和旗舰版三个版本,每个版本支持的功能、资产、带宽扩展规格不同。
您可以参看如下多维度对比表格说明选择合适的版本。更多信息,请参见功能特性。