云防火墙在阿里云网络中的位置

云防火墙有3个控制单元:

  • 互联网边界防火墙:部署于EIP的前面(即EIP出互联网方向的第一个防护节点),对公网EIP进行控制(高级版、企业版和旗舰版)。
  • VPC边界防火墙:部署于VPC和VPC间的边界,对ECS的私网地址进行控制(企业版和旗舰版)。
  • 主机防火墙:即安全组,对ECS实例间的入流量和出流量进行控制(企业版和旗舰版)。
下图展示了部分阿里云产品(包括云防火墙)的逻辑关系。云防火墙架构图

同WAF、DDoS高防等安全产品同时使用

与Web应用防火墙(WAF)、DDoS高防等安全产品同时使用如上图所示。云防火墙防护的是WAF和DDoS高防的源站IP。

与CDN产品同时使用

与CDN同时使用时,云防火墙防护的是CDN的源站IP。

与OSS、RDS同时使用

目前云防火墙不支持阿里云OSS、RDS。

默认情况下,RDS实例被设置为不允许任何IP(即白名单为127.0.0.1)访问,包括内网访问和外网访问。您可以通过RDS控制台的数据安全性页面或者API来添加白名单。白名单的更新无需重启RDS实例,因此不会影响您的业务。

如果您使用的是在ECS上自建的RDS数据库,则可以通过VPC边界防火墙来实现对自建RDS的防护。