服务介绍

什么是云防火墙

云防火墙是面向虚拟专有云（VPC）安全防护的防火墙服务，统一管理VPC的南北向和东西向的流量。云防火墙提供VPC边界防火墙功能，对VPC对等连接中互通的VPC，和云联网中加载的VPC，进行精确的访问控制；或通过互联网边界防火墙功能，进行VPC与互联网之间双向的流量控制。用户可以为云防火墙创建安全策略，对于匹配策略规则的流量将按照指定动作允许或拒绝通过，来达到防护目的。

功能价值

• 简单易用

用户在本系统完成云防火墙的简单设置后，即可使用，用户无需部署任何设备（如传统防火墙的镜像安装、路由设置等复杂基础系统和网络配置操作）；同时有效降低了网络安全管控运维成本。

• 无缝对接其他云服务

可无缝对接本系统的各类云服务（如VPC、弹性云主机、负载均衡、云数据库等），整合各类云资源，形成完整的解决方案能力。例如，可结合安全组服务，为VPC内部署的业务提供灵活的、多层级的安全防护。

• 统一防护

云防火墙支持VPC南北向和东西向的访问控制，为云上部署的业务提供完整的访问控制和安全隔离防护，构建了完整的VPC网络防线。

应用场景

• 防护VPC与公网通信安全

使用云防火墙中的互联网边界防火墙，对互联网边界防火墙配置安全策略，控制VPC与互联网之间的访问流量。

图-1 互联网边界防火墙工作示意图

 

• 防护VPC之间通信安全

使用VPC边界防火墙，控制VPC对等连接中本端VPC和对端VPC之间的访问流量，或者云联网中VPC之间的访问流量，从而实现VPC东西向访问控制。

图-2 VPC边界防火墙工作示意图

 

使用限制和指导

• 当前VPC边界防火墙只支持同可用区VPC的防护。

• 如果流量没有匹配任何安全策略，云防火墙将会拒绝流量；如果VPC配置了云防火墙，请用户添加安全策略来放通所需数据流量。

• 请配置安全组，放通VPC内相应弹性云主机的流量，否则，云防火墙放行流量后，VPC内的弹性云主机可能也无法通信。

• 策略优先级是指访问控制策略生效的顺序；在多条安全策略同时存在的云防火墙中，数据流量是按照优先级顺序依次与多条策略进行匹配，数字越小，优先级越高。对于配置了云防火墙的VPC，安全策略将按图-3逻辑来控制该VPC的出入流量。

图-3 安全策略生效逻辑示意图

 

• 在创建安全策略后若您发现策略优先级与实际业务不匹配，可以通过修改安全策略功能修改优先级顺序。

在对VPC内部和外部网络之间的流量进行管控时，可以设置高优先级策略对可疑流量或恶意流量进行拒绝，再设置低优先级放通任意地址的流量；或者只对可信流量进行放行。

 

与其他云服务的关系

云联网与其他云服务依赖关系如表所述，请提前创建相应的云资源。

表-1 云防火墙与其他云服务的关系

云服务	描述
VPC	云防火墙控制VPC网络出入口流量。
VPC对等连接	云防火墙的功能之一，是防护VPC对等连接的通信安全，用VPC边界防火墙，对VPC对等连接中的本端VPC和对端VPC进行精细的流量控制。
云联网	云防火墙的功能之一，是防护云联网的通信安全，用VPC边界防火墙，对云联网中VPC之间的通信进行访问控制。