什么是云防火墙 - 云防火墙

阿里云云防火墙是一款云平台SaaS（Software as a Service）化的防火墙，可针对您云上网络资产的互联网边界、VPC边界及主机边界实现三位一体的统一安全隔离管控，是您业务上云的第一道网络防线。

功能概述

云防火墙主要包含互联网边界防火墙、VPC边界防火墙、主机边界防火墙，为您提供互联网、虚拟网络、主机三种边界防护。

互联网边界防火墙作用于互联网边界，对所有公网IP统一管控。

主机防火墙对应安全组，对ECS间通信进行管控。

VPC边界防火墙作用于VPC边界，对云企业网和高速通道流量进行管控。

互联网边界、主机边界防火墙和VPC边界防火墙配合使用，可以精细化地管控数据访问行为，同时也组成了互联网边界-虚拟网络边界-主机边界三层纵深防御体系。

满足精细化的访问控制需求

满足微隔离的访问控制需求

云防火墙可以防护以下云资产或流量：

互联网边界防火墙（南北向）：ECS公网IP、SLB EIP、SLB公网IP、HAVIP、EIP、ECS EIP、ENI EIP、NAT EIP、SLB IPv6、ECS IPv6、堡垒机IP资产。
VPC边界防火墙（东西向）：
- 企业版转发路由器的VPC边界防火墙
  - 同地域多个专有网络VPC（Virtual Private Cloud）互访的流量。
  - 通过企业版转发路由器TR（Transit Router）实现跨地域多个VPC互访的流量。
  - VPC和边界路由器VBR（Virtual Border Router）互访的流量（即VPC和本地数据中心IDC互访的流量）。
  - VPC和云连接网CCN（Cloud Connect Network）互访的流量。
  - 多个VBR互访的流量。
  - CCN和VBR互访的流量。
- 基础版转发路由器的VPC边界防火墙
  - 同地域多个专有网络VPC（Virtual Private Cloud）互访的流量。
  - 通过基础版转发路由器TR（Transit Router）实现跨地域多个VPC互访的流量。
  - VPC和边界路由器VBR（Virtual Border Router）互访的流量（即VPC和本地数据中心IDC互访的流量）。
  - VPC和云连接网CCN（Cloud Connect Network）互访的流量。
- 高速通道VPC边界防火墙
  - 高速通道连接专有网络VPC（Virtual Private Cloud）模式下，同账号同地域多个VPC互访的流量。
  - VPC对等连接模式下，同地域多个VPC互访的流量。
主机边界防火墙：ECS实例之间的流量。

以下为您简单介绍云防火墙提供的免费版、按量付费版、高级版、企业版和旗舰版的区别。关于各版本具体的防护能力，请参见功能特性。

Kubernetes类场景

版本名称	介绍
免费版	免费为您提供基础的安全防护能力，可进行安全组检查、互联网边界严格模式防护服务。
按量付费版	为主机和VPC等资产提供可靠的安全防护能力，包括云上网路访问流量分析与攻击感知、互联网边界防火墙访问控制策略配置、攻击防护、资产异常情况通知等服务。
高级版	为主机和VPC等资产提供可靠的安全防护能力，包括云上网路访问流量分析与攻击感知、互联网边界防火墙访问控制策略配置、互联网的流量分析、攻击防护、日志分析、多账号统一管理、资产异常情况通知等服务。
企业版	为主机和VPC等资产提供可靠的安全防护能力，包括云上网路访问流量分析与攻击感知、访问控制策略配置、网络流量分析、攻击防护、日志分析、业务可视化、多账号统一管理、资产异常情况通知等服务。相较于高级版，企业版具有更完善且更强的防护能力。
旗舰版	为主机和VPC等资产提供可靠的安全防护能力，包括云上网路访问流量分析与攻击感知、访问控制策略配置、网络流量分析、攻击防护、日志分析、业务可视化、多账号统一管理、资产异常情况通知等服务。相较于企业版，旗舰版具有更强的防护能力。

如果您是第一次购买云防火墙，您可以单击下面按钮，免费试用一次云防火墙高级版。更多信息，请参见新用户免费试用。

点击此处免费试用云防火墙

云防火墙已通过ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 29151、ISO 27701、BS 10012、CSA STAR、PCI DSS认证。

如果您在购买云防火墙时遇到产品功能、产品价格、产品选型等售前问题，或期望试用云防火墙产品，请加入钉群（钉群号：33081734），联系产品技术专家进行咨询。