最近更新时间:2023-02-02
云防火墙是面向虚拟专有云(VPC)安全防护的防火墙服务,统一管理VPC的南北向和东西向的流量。云防火墙提供VPC边界防火墙功能,对VPC对等连接中互通的VPC,和云联网中加载的VPC,进行精确的访问控制;或通过互联网边界防火墙功能,进行VPC与互联网之间双向的流量控制。用户可以为云防火墙创建安全策略,对于匹配策略规则的流量将按照指定动作允许或拒绝通过,来达到防护目的。
简单易用
用户在本系统完成云防火墙的简单设置后,即可使用,用户无需部署任何设备(如传统防火墙的镜像安装、路由设置等复杂基础系统和网络配置操作);同时有效降低了网络安全管控运维成本。
无缝对接其他云服务
可无缝对接本系统的各类云服务(如VPC、弹性云主机、负载均衡、云数据库等),整合各类云资源,形成完整的解决方案能力。例如,可结合安全组服务,为VPC内部署的业务提供灵活的、多层级的安全防护。
统一防护
云防火墙支持VPC南北向和东西向的访问控制,为云上部署的业务提供完整的访问控制和安全隔离防护,构建了完整的VPC网络防线。
防护VPC与公网通信安全
使用云防火墙中的互联网边界防火墙,对互联网边界防火墙配置安全策略,控制VPC与互联网之间的访问流量。
图-1 互联网边界防火墙工作示意图
防护VPC之间通信安全
使用VPC边界防火墙,控制VPC对等连接中本端VPC和对端VPC之间的访问流量,或者云联网中VPC之间的访问流量,从而实现VPC东西向访问控制。
图-2 VPC边界防火墙工作示意图
当前VPC边界防火墙只支持同可用区VPC的防护。
如果流量没有匹配任何安全策略,云防火墙将会拒绝流量;如果VPC配置了云防火墙,请用户添加安全策略来放通所需数据流量。
请配置安全组,放通VPC内相应弹性云主机的流量,否则,云防火墙放行流量后,VPC内的弹性云主机可能也无法通信。
策略优先级是指访问控制策略生效的顺序;在多条安全策略同时存在的云防火墙中,数据流量是按照优先级顺序依次与多条策略进行匹配,数字越小,优先级越高。对于配置了云防火墙的VPC,安全策略将按图-3逻辑来控制该VPC的出入流量。
在创建安全策略后若您发现策略优先级与实际业务不匹配,可以通过修改安全策略功能修改优先级顺序。
| 在对VPC内部和外部网络之间的流量进行管控时,可以设置高优先级策略对可疑流量或恶意流量进行拒绝,再设置低优先级放通任意地址的流量;或者只对可信流量进行放行。 |
云联网与其他云服务依赖关系如表所述,请提前创建相应的云资源。
表-1 云防火墙与其他云服务的关系
云服务 | 描述 |
VPC | 云防火墙控制VPC网络出入口流量。 |
VPC对等连接 | 云防火墙的功能之一,是防护VPC对等连接的通信安全,用VPC边界防火墙,对VPC对等连接中的本端VPC和对端VPC进行精细的流量控制。 |
云联网 | 云防火墙的功能之一,是防护云联网的通信安全,用VPC边界防火墙,对云联网中VPC之间的通信进行访问控制。 |
