云防火墙是互联网边界防火墙、VPC边界防火墙、主机边界防火墙的统称,为您提供互联网、虚拟网络、主机三种边界防护。
互联网边界防火墙作用于互联网边界,对所有公网IP统一管控;主机防火墙对应安全组,对ECS间通信进行管控。互联网边界防火墙和主机边界防火墙原理图和位置如下:
VPC边界防火墙作用于VPC边界,对高速通道流量进行管控。VPC边界防火墙原理图和位置如下:
三种防火墙配合使用,可以精细化地管控数据访问行为,同时也组成了互联网边界-虚拟网络边界-主机边界三层纵深防御体系:
- 对于需要精细化访问控制的需求,云防火墙提供集中式的访问控制,也就是内对外、外对内访问控制策略,提供了应用、域名等精细化访问控制策略,并可以统一管控所有VPC、所有区域,并提供观察模式、地址簿等优化策略配置功能,配置相对简单。
- 对于微隔离的访问控制需求,云防火墙提供分布式的访问控制,目前底层利用的是安全组能力,同时提供所有内部流量的可视能力,帮助您优化内对内策略。后续会提供策略的观察模式、拦截访问分析、智能策略等能力。
根据网络边界配置防火墙,便于逻辑分层,同时也方便后续维护。如您只有公网防护需求,就只需要在互联网边界防火墙处配置南北向策略(即内对外或外对内访问控制策略)。如果同时有主机防护需求,可以在主机边界防火墙处配置东西向策略(即策略组访问控制策略)。
SAAS化云原生防火墙,全面梳理云上资产的互联网暴露和风险情况,一键防护;IPS虚拟补丁可智能防御高危漏洞;集成威胁情报,支持阻断主动外联行为、业务间访问关系可视,网络流量审计,等保必备。
云技术在线提供技术支持。
阿里云云防火墙是业界首款云平台SaaS化的防火墙,可统一管理南北向和东西向的流量,提供流量监控、精准访问控制、实时入侵防御等功能,全面保护您的网络安全。
功能列表
下表介绍了云防火墙的功能特性和支持的版本信息。
| 应用场景 | 功能名称 | 描述 |
|---|---|---|
| 云上网络访问流量分析与攻击感知 | 概览 | 提供已开启和未开启的防御能力总览,并为您展示最近7天访问流量统计数据和已检测出的安全风险统计数据。 |
| 访问控制 | 互联网边界防火墙 | 支持互联网双向访问控制(南北向);支持基于域名的访问控制,严格控制主动外联的出流量。 |
| VPC边界防火墙 | 支持VPC间流量访问控制。 | |
| 主机边界防火墙 | 支持内网ECS之间的微隔离(东西向)。 | |
| 网络流量实时监控和分析 | 主动外联活动 | 实时监控云资产主动外联的行为。 |
| 互联网访问活动 | 支持云上网络访问流量统计和分析。 | |
| VPC访问活动 | 实时监控VPC专有网络之间的流量情况,帮助您实时获取VPC网络流量数据,及时发现和排查异常流量。 | |
| 失陷感知 | 由威胁检测引擎实时检测入侵活动及其详细信息并提供对应的处置方案。 | |
| IPS拦截记录 | 云防火墙提供入侵防御功能并同步进行智能阻断,提供被阻断的访问流量分析,帮助您有效识别被云防火墙阻断的网络流量。 | |
| 全量活动搜索 | 支持基于过滤条件对经过云防火墙的访问流量进行搜索。 | |
| 入侵防御 | 漏洞攻击防护 | 实时检测可被网络侧攻击利用的漏洞,并提供针对此类漏洞的攻击防御能力。 |
| 入侵防御 |
|
|
| 日志 | 日志审计 | 提供日志审计和行为回溯,详细介绍如下:
|
| 日志分析 | 实时地自动采集并存储(存储时长可达6个月)出、入方向的流量日志并进行分析;支持基于特定指标定制准实时的监测与告警,确保在关键业务发生异常时能及时响应。 | |
| 常用网络流量检测工具 | 工具箱 | 提供网络抓包、策略回滚、安全组配置检查等功能,帮助您全面了解经过云防火墙的网络流量。 |
| 业务可视 | 安全组可视、应用分组可视 | 支持业务可视,帮助您全面了解云资产的信息和访问关系。 |
| 自定义分组 | 支持通过自定义分组建立云资产的应用和应用组、业务区之间的关系。 |