云防火墙在阿里云网络中的位置

云防火墙有3个控制单元:

  • 互联网边界防火墙:部署于EIP的前面(即EIP出互联网方向的第一个防护节点),对公网EIP进行控制(高级版、企业版和旗舰版)。
  • VPC边界防火墙:部署于VPC和VPC间的边界,对ECS的私网地址进行控制(企业版和旗舰版)。
  • 主机防火墙:即安全组,对ECS实例间的入流量和出流量进行控制(企业版和旗舰版)。

下图展示了部分阿里云产品(包括云防火墙)的逻辑关系。

阿里云产品逻辑关系

同WAF、高防等安全产品同时使用

与WAF、高防等安全产品同时使用如上图所示。云防火墙防护的是WAF和高防的源站IP。

同CDN产品同时使用

与CDN产品同时使用时,云防火墙防护的是源站IP。

同OSS、RDS等产品同时使用

目前云防火墙不支持OSS、RDS等SaaS化的产品。如果您使用的是在ECS上自建的RDS服务,则可以通过VPC边界防火墙来实现对自建RDS的防护。详细内容请参见VPC边界防火墙

同SLB同时使用

阿里云提供公网和私网两种类型的负载均衡(SLB)服务。由于历史网络架构的原因,部分公网SLB不支持云防火墙引流,推荐您采用私网SLB加EIP的方案(详细内容请参见绑定EIP),将流量牵引到云防火墙上进行防护。
说明 对于已使用了公网SLB的用户,云防火墙无法防护来自公网SLB的流量。不建议您自行对网络进行变更处理。如有任何需要,请联系SLB技术支持人员。