安全组是ECS提供的虚拟主机防火墙,对ECS实例间的流量进行访问控制。

云防火墙是互联网边界防火墙、VPC边界防火墙、主机边界防火墙的统称,为您提供互联网边界、VPC网络边界、ECS实例间的三重防护。

云防火墙的主机边界防火墙底层使用了安全组的能力。您既可以在云防火墙控制台访问控制 > 主机边界防火墙处配置策略,也可以在ECS控制台安全组页面配置策略,两者配置自动保持同步。

云防火墙相对安全组的独有功能

  • 支持应用级别的访问控制。例如:可以管控HTTP协议流量,其HTTP服务可以运行在任意端口。
  • 支持域名级别的访问控制。例如:可以配置只允许所有ECS到*.aliyun.com的请求。
  • 支持地址簿,可以将一组IP地址、端口或者具有相同标签的ECS配置为一个地址簿,便于您对多个地址进行统一管控。
  • 提供入侵防御功能,支持对常见的系统漏洞和暴力破解进行防护。
  • 访问控制策略支持观察模式。
  • 提供完整的流量日志,并支持对流量进行实时分析。

云防火墙相对安全组的增强功能

云防火墙相对安全组提供了一些增强功能:
  • 策略组在未设置放行策略的情况下,该策略组中的ECS实例之间无法互通。
    说明 如果新增策略组之后,又删除了该策略组中的全部策略,这种情况也属于该策略组未添加任何策略。
  • 支持多条策略批量发布。
  • 通过提供不限数量的VPC边界访问控制策略(提工单可申请扩展),减少配置不必要的主机防火墙策略(即ECS安全组规则),可以有效解决ECS安全组规则存在数量上限并且无法调整的问题。