阿里云云防火墻(Cloud Firewall)是一款公共云環(huán)境下的SaaS化防火墻世澜,可統(tǒng)一管理南北向和東西向的流量,提供流量監(jiān)控署穗、精準訪問控制、實時入侵防御等功能嵌洼,全面保護您的網絡邊界案疲。可提供統(tǒng)一的互聯(lián)網邊界麻养、內網VPC邊界褐啡、主機邊界流量管控與安全防護,包括結合情報的實時入侵防護鳖昌、全流量可視化分析备畦、智能化訪問控制、日志溯源分析等能力许昨,是您的網絡邊界防護與等保合規(guī)利器懂盐。
阿里云云防火墻最新活動:
- 云防火墻高級版支持1個月起購
- 小型企業(yè)云防火墻按量版0元開通
- 優(yōu)惠活動云防火墻等保套餐優(yōu)惠活動
活動直達:點此進入阿里云云防火墻活動
阿里云云防火墻功能概述
云防火墻主要包含互聯(lián)網邊界防火墻、VPC邊界防火墻糕档、主機邊界防火墻莉恼,為您提供互聯(lián)網、虛擬網絡、主機三種邊界防護俐银。
1尿背、互聯(lián)網邊界防火墻
互聯(lián)網邊界防火墻作用于互聯(lián)網邊界,對所有公網IP統(tǒng)一管控捶惜。
2田藐、主機邊界防火墻
主機防火墻對應安全組,對ECS間通信進行管控吱七。
3汽久、VPC邊界防火墻
VPC邊界防火墻作用于VPC邊界,對云企業(yè)網和高速通道流量進行管控陪捷。
阿里云云防火墻使用場景說明
互聯(lián)網邊界回窘、主機邊界防火墻和VPC邊界防火墻配合使用,可以精細化地管控數(shù)據訪問行為市袖,同時也組成了互聯(lián)網邊界-虛擬網絡邊界-主機邊界三層縱深防御體系啡直。
1、滿足精細化的訪問控制需求
云防火墻提供集中式的訪問控制苍碟,也就是出方向酒觅、入方向訪問控制策略,提供了應用微峰、域名等精細化訪問控制策略舷丹。
云防火墻可以統(tǒng)一管控所有VPC、所有區(qū)域蜓肆,并提供觀察模式颜凯、地址簿等優(yōu)化策略配置功能,配置相對簡單仗扬。
2症概、滿足微隔離的訪問控制需求
云防火墻提供分布式的訪問控制,目前底層利用的是安全組能力早芭,同時提供所有內部流量的可視能力彼城,幫助您優(yōu)化內對內策略。
同時退个,為您提供策略的觀察模式募壕、攔截訪問分析、智能策略等能力语盈。
阿里云云防火墻產品功能
1舱馅、精細化訪問控制
可統(tǒng)一管理互聯(lián)網到業(yè)務的訪問控制策略(南北向)和業(yè)務與業(yè)務之間的微隔離策略(東西向),提供流量監(jiān)控刀荒、精準訪問控制习柠、實時入侵防御等功能匀谣,支持全網流量可視和業(yè)務間訪問關系可視,全面保護您的網絡安全资溃。
2武翎、資產暴露管理
支持對互聯(lián)網暴露資產的統(tǒng)一管理以及分析,資產包括:開放公網IP溶锭、開放端口宝恶、開放應用、云產品趴捅; 詳情包括:公網IP垫毙、資產實例、應用拱绑、端口综芥、7日流量占比、風險評估猎拨、協(xié)議(云產品)膀藐、健康狀態(tài)(云產品)、所屬可用區(qū)(云產品)等红省。
3额各、安全正向代理
提供安全正向代理,對NAT網關出公網的流量進行防護吧恃。NAT網關訪問互聯(lián)網的流量會先經過云防火墻安全正向代理虾啦,實現(xiàn)對內網IP訪問互聯(lián)網的流量進行訪問控制和防護。
4痕寓、入侵檢測與防御IPS
云防火墻內置了威脅檢測引擎傲醉,可對互聯(lián)網上的惡意流量入侵活動和常規(guī)攻擊行為進行實時阻斷和攔截,并提供精準的威脅檢測虛擬補丁呻率,智能阻斷入侵風險需频。
5、主動外連檢測與封禁
支持云內資源的主動外聯(lián)網絡側檢測筷凤,協(xié)助客戶判斷惡意外連請求。主動外聯(lián)功能向您實時展示主機的主動外聯(lián)數(shù)據苞七,幫助您及時發(fā)現(xiàn)可疑主機藐守。
6、流量可視化
支持全網流量可視和業(yè)務間訪問關系可視蹂风。
7卢厂、網絡日志審計
通過云防火墻的所有流量會在日志審計頁面記錄下來,包括流量日志惠啄、事件日志和操作日志慎恒,幫助您實時審計您的網絡流量任内,并為您對可疑流量進行相應的處理提供依據。
阿里云云防火墻防護范圍
云防火墻可以防護以下云資產或流量:
1融柬、互聯(lián)網邊界防火墻(南北向)
ECS公網IP死嗦、SLB EIP、SLB公網IP粒氧、HAVIP越除、EIP、ECS EIP外盯、ENI EIP摘盆、NAT EIP、SLB IPv6饱苟、ECS IPv6孩擂、堡壘機IP資產。
2箱熬、VPC邊界防火墻(東西向)
企業(yè)版轉發(fā)路由器的VPC邊界防火墻
同地域多個專有網絡VPC(Virtual Private Cloud)互訪的流量类垦。
通過企業(yè)版轉發(fā)路由器TR(Transit Router)實現(xiàn)跨地域多個VPC互訪的流量。
VPC和邊界路由器VBR(Virtual Border Router)互訪的流量(即VPC和本地數(shù)據中心IDC互訪的流量)坦弟。
VPC和云連接網CCN(Cloud Connect Network)互訪的流量护锤。
多個VBR互訪的流量。
CCN和VBR互訪的流量酿傍。基礎版轉發(fā)路由器的VPC邊界防火墻
同地域多個專有網絡VPC(Virtual Private Cloud)互訪的流量烙懦。
通過基礎版轉發(fā)路由器TR(Transit Router)實現(xiàn)跨地域多個VPC互訪的流量。
VPC和邊界路由器VBR(Virtual Border Router)互訪的流量(即VPC和本地數(shù)據中心IDC互訪的流量)赤炒。
VPC和云連接網CCN(Cloud Connect Network)互訪的流量氯析。高速通道VPC邊界防火墻
高速通道連接專有網絡VPC(Virtual Private Cloud)模式下,同賬號同地域多個VPC互訪的流量莺褒。
VPC對等連接模式下掩缓,同地域多個VPC互訪的流量。
主機邊界防火墻:ECS實例之間的流量遵岩。
阿里云云防火墻推薦配置
根據網絡邊界配置防火墻你辣,便于邏輯分層,同時也方便后續(xù)維護尘执。
1舍哄、公網防護需求
如果您只有公網流量防護需求,就只需要在互聯(lián)網邊界防火墻處配置即出方向或入方向訪問控制策略誊锭。
2表悬、主機防護需求
如果您在防護公網流量的同時,還需要防護主機(ECS)之間的流量丧靡,可以將互聯(lián)網邊界防火墻和主機邊界防火墻配合使用蟆沫,即配置互聯(lián)網邊界防火墻訪問控制策略的同時籽暇,再在主機邊界防火墻處配置策略組訪問控制策略。
3饭庞、跨VPC&云上云下防護需求
如果您在防護公網流量的同時戒悠,還需要防護VPC之間、VPC與IDC之間的流量但绕,可以將互聯(lián)網邊界防火墻和VPC邊界防火墻配合使用救崔,即配置互聯(lián)網邊界防火墻訪問控制策略的同時,再在VPC邊界防火墻處配置訪問控制策略捏顺。
