产品介绍
更新时间:2025-09-01
什么是云防火墙
云防火墙 CFW(Cloud Firewall)是一款统一管理互联网边界、NAT 边界、以及 VPC 边界流量放行的云产品。云防火墙CFW可统一管理互联网到内网和VPC之间的流量,集中管理云防火墙策略,实现互联网到VPC的访问控制策略(南北向)、VPC之间的隔离策略(东西向)的统一流量访问控制。满足大客户多云、混合云、跨地域复杂组网场景下,对网络环境安全可控的的需求。
说明: 云防火墙CFW已于2024年8月1日起开始计费,请合理安排您账号下的防火墙资源,更多关于定价计费的详细内容,情参见 产品定价。
产品功能
云防火墙边界
- 互联网边界防火墙:互联网边界防火墙作用于互联网边界,对所有公网资产(EIP)进出流量统一管控。您可以使用互联网边界防火墙,精细化管控业务公网资产出入互联网的访问流量,减少公网资产在互联网的暴露面,降低业务流量的安全风险。互联网边界防火墙支持一键开启防护,无需复杂的网络接入配置和镜像文件安装,支持性能平滑扩展。
- VPC边界防火墙:VPC边界防火墙将VPC作为防护对象,专为管理和监控云环境中虚拟私有云(VPC)之间以及VPC与本地数据中心之间的网络流量而设计。通过云防火墙VPC边界,用户可以实现对VPC内部流量的精细化管控,包括流量的检测、过滤和管理,以确保数据安全和网络稳定性。
- NAT边界防火墙:NAT边界防火墙将NAT网关作为防护对象,负责监控、过滤和管理流向NAT网关的出向流量,以防止恶意攻击、未经授权的访问和数据泄露等安全威胁,以确保数据安全和网络稳定性。
云防火墙策略
云防火墙策略是流量过滤规则的集合,通过五元组形式定义,对于每一条经过互联网边界和VPC边界的数据流,云防火墙都会根据规则列表按优先级匹配五元组信息。若出现匹配的数据流,则按照该命中规则的动作,对该数据流执行相应的操作,以此满足租户对于互联网边界和VPC边界的访问控制防护需求,并可以在VPC流日志查看阻断日志信息,满足用户安全运维审计的需求。防火墙策略分为有状态策略和无状态策略,差异如下:
| 差异项\类型 | 无状态策略 | 有状态策略 | 备注 |
|---|---|---|---|
| CFW 默认行为 | 放通 | 拒绝 | 默认行为指流量不匹配任何配置 ACL 时 CFW 的行为 |
| CFW 对响应流量处理逻辑 | 查找对应方向 ACL | 按该流请求方向 ACL 匹配结果处理 | 有状态 CFW 若一个方向放通,另一方向自动放通 |
| 七层防护 | 不支持 | 支持 | 有状态 CFW 支持域名、应用协议维度的防护 |
| 实现网关 | TCFW,tofino 设备 | SCFW,x86 设备 | -- |
| 防火墙边界 | VPC | 互联网、VPC、NAT | -- |
防护范围
云防火墙可以防护以下云资产或流量:
- 互联网边界防火墙(南北向):如云服务器、EIP、负载均衡等场景
- NAT边界防火墙:支持NAT出向流量防护
-
VPC边界防火墙:
- 对等连接支持跨地域多个VPC互访的流量,同地域不支持
- 专线网关支持本地数据中心IDC与VPC互访的流量
- 云智能网支持同地域多个VPC互访的流量、跨地域多个VPC互访的流量。
防火墙版本介绍
百度云防火墙的免费版本提供基础的云安全防护能力,无需额外的成本。此外还为用户提供了3个收费版本,分别是高级版、企业版和旗舰版。每个版本按照功能模块及默认规格划分,以适应不同资产规模和需求类型的客户。
| 版本名称 | 能力说明 |
|---|---|
| 高级版 | 云防火墙高级版支持防护公网资产,具备云上网络流量分析防护、互联网流量访问管控、网络攻击防护、日志分析、资产异常通知等能力。 |
| 企业版 | 云防火墙企业版覆盖了云防火墙高级版的全部能力,同时提虚拟私有云(VPC)之间以及VPC与本地数据中心之间的网络安全防御。 |
| 旗舰版 | 云防火墙旗舰版覆盖了云防火墙企业版的全部能力,相较于企业版,旗舰版具有更强的防护能力。 |
不同版本具体的产品规格详情,请参见 防火墙使用限制。