咨询类
更新时间:2025-08-20
Q:什么是云防火墙CFW?
防火墙 CFW(Cloud Firewall)是一款统一管理互联网边界、NAT 边界、以及 VPC 边界流量放行的云产品。云防火墙CFW可统一管理互联网到内网和VPC之间的流量,集中管理云防火墙策略,实现互联网到VPC的访问控制策略(南北向)、VPC之间的隔离策略(东西向)的统一流量访问控制。满足大客户多云、混合云、跨地域复杂组网场景下,对网络环境安全可控的的需求。
Q:云防火墙CFW和Web应用防火墙(WAF)有什么区别?
云防火墙(CFW)和Web应用防火墙(WAF)是两种不同层面的安全防护产品,CFW 适用于网络层安全,管控IP、端口级别的访问,防止未授权访问和网络攻击;WAF 专注于Web应用安全,防护SQL注入、XSS、CC攻击等应用层威胁,二者的主要区别如下:
| 对比项 | 云防火墙 (CFW) | Web应用防火墙 (WAF) |
|---|---|---|
| 防护对象 | 网络层、传输层流量 (L3-L4) | Web应用层流量 (L7) |
| 防护范围 | 互联网边界、VPC间流量、NAT网关流量 | HTTP/HTTPS Web流量 |
| 主要功能 | • 访问控制(ACL) • 网络入侵防御(IPS) • 流量审计 |
• SQL注入防护 • XSS攻击防护 • CC攻击防护 • 防爬虫/BOT管理 |
| 适用场景 | • 服务器南北向/东西向访问控制 • 云上VPC隔离 • 防止恶意IP访问 |
• 网站防黑客攻击 • API接口安全防护 • 防数据泄露 |
| 部署方式 | 云原生集成,无需安装Agent | 支持反向代理、透明代理、旁路检测 |
| 检测方式 | 基于IP、端口、协议进行访问控制 | 基于HTTP请求内容检测(如URL、Header、Body) |
Q:安全组和云防火墙的关系是什么?
安全组是主机级别的网络访问控制,云防火墙是网络边界级别的流量管控,二者具体的区别如下:
| 特性 | 云防火墙(CFW) | 安全组 |
|---|---|---|
| 防护层级 | 网络边界防护(公网/VPC/NAT边界) | 实例级防护(主机/网卡边界) |
| 功能范围 | 提供ACL、IPS、流量审计等高级功能 | 基础五元组过滤(IP/端口/协议) |
| 日志能力 | 完整记录流量日志,支持溯源分析 | 无原生日志功能 |
| 策略粒度 | 支持应用层协议识别(HTTP/DNS等) | 仅支持传输层控制 |
| 性能影响 | 集中式处理,对实例性能无影响 | 分布式执行,可能影响实例网络性能 |
Q:CFW的防护范围是什么?
云防火墙可以防护以下云资产或流量:
- 互联网边界防火墙(南北向):如云服务器、EIP、负载均衡等场景
- NAT边界防火墙:支持NAT出向流量防护
-
VPC边界防火墙:
- 对等连接:支持跨地域多个VPC互访的流量,同地域不支持
- 专线网关:支持本地数据中心IDC与VPC互访的流量
- 云智能网:同地域多个VPC互访的流量;跨地域多个VPC互访的流量。
Q:有状态和无状态的区别是什么?
| 对比项 | 有状态 | 无状态 |
|---|---|---|
| 工作原理 | 基于会话状态进行流量过滤,维护完整的连接状态表 | 基于单个报文进行独立检测 |
| 核心特征 | • 实现双向防护(自动处理返程流量) • 支持Gbps级流量处理(适合中小规模企业) • 按会话粒度进行策略匹配 • 自动建立会话状态表(包括TCP状态机跟踪) |
• 支持Tbps级超高吞吐量 • 按报文粒度进行过滤 • 仅实现单向流量检测 • 无会话状态跟踪开销 |
| 典型场景 | • 需要识别完整网络会话的环境 • 对返程流量有自动放行需求的业务 • 中小流量规模的网络环境 |
• 超大规模数据中心 • 需要处理海量短连接的业务 • 对性能要求极高的网络环境 |
Q:什么是云防火墙策略?如何开启防护?
云防火墙策略是一组安全访问规则(ACL)的集合,用于统一管理互联网边界和VPC边界的入向和出向流量。每个防火墙策略集被视为一个CFW实例,可以关联多个防护实例。当使用有状态策略时,关联到同一策略的多个防护实例将共享会话状态。 如要开启防护,只需将防护对象关联到已配置规则的CFW策略(注意不能关联空规则策略),关联后即自动开启保护。您可以在关联后随时通过开关启用或关闭防护,解绑策略则会自动关闭对该对象的保护。
Q:解绑防火墙策略有什么影响?
解绑防火墙策略后,关联的防护对象(如弹性公网IP)将失去保护,导致以下影响:
- 策略失效:原配置的允许/拒绝规则不再生效,流量直接放行。
- 安全事件风险:解绑后需手动检查其他安全措施(如主机防火墙)是否完备,否则可能暴露漏洞。
Q:接入防火墙后对原来系统有什么影响?
- 网络架构影响:采用透明接入模式,无需调整现有路由配置,实现业务无感知接入;保持原有IP地址和网络拓扑不变
- 性能影响:平均增加2-3ms网络延迟(经内部测试,99%场景延迟增幅≤5ms);最大吞吐量取决于所选防火墙规格
-
特殊场景:当使用BLB(百度负载均衡)接入时:
- 建议在业务低峰期操作
- 可能出现短暂连接中断(约1-2个报文丢失)
- 推荐启用BLB的健康检查自动恢复机制