产品介绍
更新时间:2026-06-12
什么是云防火墙
云防火墙 CFW(Cloud Firewall)是一款统一管理互联网边界、NAT 边界、以及 VPC 边界流量放行的云产品。云防火墙CFW可统一管理互联网到内网和VPC之间的流量,集中管理云防火墙实例,实现互联网到VPC的访问控制策略(南北向)、VPC之间的隔离策略(东西向)的统一流量访问控制。满足大客户多云、混合云、跨地域复杂组网场景下,对网络环境安全可控的的需求。
说明: 云防火墙CFW已于2024年8月1日起开始计费,请合理安排您账号下的防火墙资源,更多关于定价计费的详细内容,情参见 产品定价。
产品功能
云防火墙边界
- 互联网边界防火墙:互联网边界防火墙作用于互联网边界,对所有公网资产(EIP)进出流量统一管控。您可以使用互联网边界防火墙,精细化管控业务公网资产出入互联网的访问流量,减少公网资产在互联网的暴露面,降低业务流量的安全风险。互联网边界防火墙支持一键开启防护,无需复杂的网络接入配置和镜像文件安装,支持性能平滑扩展。
- VPC边界防火墙:VPC边界防火墙将VPC作为防护对象,专为管理和监控云环境中虚拟私有云(VPC)之间以及VPC与本地数据中心之间的网络流量而设计。通过云防火墙VPC边界,用户可以实现对VPC内部流量的精细化管控,包括流量的检测、过滤和管理,以确保数据安全和网络稳定性。
- NAT边界防火墙:NAT边界防火墙将NAT网关作为防护对象,负责监控、过滤和管理流向NAT网关的出向流量,以防止恶意攻击、未经授权的访问和数据泄露等安全威胁,以确保数据安全和网络稳定性。
云防火墙实例
云防火墙实例是流量过滤规则的集合,通过五元组形式定义,对于每一条经过互联网边界和VPC边界的数据流,云防火墙都会根据规则列表按优先级匹配五元组信息。若出现匹配的数据流,则按照该命中规则的动作,对该数据流执行相应的操作,以此满足租户对于互联网边界和VPC边界的访问控制防护需求,并可以在VPC流日志查看阻断日志信息,满足用户安全运维审计的需求。防火墙实例分为应用型实例和网络型实例,差异如下:
| 类型 | 核心特征 | 优点 | 缺点 | 适用场景 | 防火墙边界 |
|---|---|---|---|---|---|
| 应用型 | 会跟踪每个连接的状态 | 安全性高 | 配置复杂、处理速度慢 | 适用于需要处理大量网络流量、大带宽的VPC防火墙场景 | 互联网、NAT、VPC |
| 网络型 | 不考虑数据包之间的关系 | 配置简单、处理速度快 | 安全性低 | 适用于小带宽、需要高级别安全性的网络环境的场景 | VPC |
防护范围
云防火墙可以防护以下云资产或流量:
- 互联网边界防火墙(南北向):如云服务器、EIP、负载均衡等场景
- NAT边界防火墙:支持NAT出向流量防护
-
VPC边界防火墙:
- 对等连接支持跨地域多个VPC互访的流量,同地域不支持
- 专线网关支持本地数据中心IDC与VPC互访的流量
- 云智能网支持同地域多个VPC互访的流量、跨地域多个VPC互访的流量。
评价此篇文章