應(yīng)用場(chǎng)景
云防火墻(Cloud Firewall)是您云上業(yè)務(wù)的安全屏障,可有效防護(hù)來(lái)自網(wǎng)絡(luò)上的風(fēng)險(xiǎn)攻擊,同時(shí)為您提供配置網(wǎng)絡(luò)安全策略的能力。
云上企業(yè)級(jí)數(shù)據(jù)中心的網(wǎng)絡(luò)安全管控
針對(duì)企業(yè)業(yè)務(wù)上云,在云上構(gòu)建大型數(shù)據(jù)中心等業(yè)務(wù)場(chǎng)景,云防火墻可以幫助您防護(hù)云上數(shù)據(jù)的安全,支持對(duì)全網(wǎng)流量深度分析、并對(duì)互聯(lián)網(wǎng)上全方位的惡意流量進(jìn)行攻擊防護(hù),提供自定義的訪問(wèn)控制策略。
互聯(lián)網(wǎng)邊界防火墻
互聯(lián)網(wǎng)邊界防火墻作用于互聯(lián)網(wǎng)邊界,對(duì)所有公網(wǎng)資產(chǎn)進(jìn)出流量統(tǒng)一管控防護(hù)。您可以使用互聯(lián)網(wǎng)邊界防火墻,精細(xì)化管控業(yè)務(wù)公網(wǎng)資產(chǎn)出入互聯(lián)網(wǎng)的訪問(wèn)流量,減少公網(wǎng)資產(chǎn)在互聯(lián)網(wǎng)的暴露面,降低業(yè)務(wù)流量的安全風(fēng)險(xiǎn)。
NAT邊界防火墻
VPC內(nèi)資源(例如ECS、ECI等)通過(guò)NAT網(wǎng)關(guān)直接訪問(wèn)互聯(lián)網(wǎng)時(shí),可能存在未經(jīng)授權(quán)的訪問(wèn)、數(shù)據(jù)泄露、惡意流量攻擊等安全風(fēng)險(xiǎn)。為了降低這些風(fēng)險(xiǎn),您可以開(kāi)啟NAT邊界防火墻,利用云防火墻來(lái)攔截未授權(quán)的流量訪問(wèn)。
VPC邊界防火墻
VPC邊界防火墻幫助您檢測(cè)和管控通過(guò)企業(yè)版轉(zhuǎn)發(fā)路由器、基礎(chǔ)版轉(zhuǎn)發(fā)路由器以及高速通道打通的專有網(wǎng)絡(luò)VPC之間、VPC和本地?cái)?shù)據(jù)中心之間的東西向流量,實(shí)現(xiàn)云上跨VPC之間、VPC與本地?cái)?shù)據(jù)中心(VBR)、VPC到三方云(VBR)、VPC與VPN之間內(nèi)網(wǎng)訪問(wèn)流量安全。
主機(jī)邊界防火墻
主機(jī)邊界防火墻支持托管ECS安全組,對(duì)VPC內(nèi)ECS實(shí)例的出入流量進(jìn)行訪問(wèn)控制。主機(jī)邊界防火墻的訪問(wèn)控制策略發(fā)布后,會(huì)自動(dòng)同步到ECS安全組并生效。同時(shí)支持安全組合規(guī)檢查和安全組微隔離可視化。
混合云(IDC+云上)業(yè)務(wù)或DMZ上云的高級(jí)防護(hù)
云防火墻提供了全面的流量防護(hù)功能,其中包括對(duì)DMZ南北向的流量防護(hù),以及對(duì)IDC與VPC間的東西向流量進(jìn)行防護(hù),能夠有效保障您的線下IDC與云上資產(chǎn)之間的流量,同時(shí)保障混合云業(yè)務(wù)的安全互通。此外,當(dāng)業(yè)務(wù)的DMZ部署在云上時(shí),云防火墻同樣能確保其與線下IDC之間流量的安全性。
多賬號(hào)統(tǒng)一管控場(chǎng)景安全防護(hù)
為了解決多賬號(hào)資源安全管控和降低安全運(yùn)維成本,云防火墻結(jié)合資源目錄服務(wù),為用戶提供了多賬號(hào)統(tǒng)一管理方案。只需開(kāi)啟多賬號(hào)統(tǒng)一管理,用戶即可在云防火墻控制臺(tái)集中保護(hù)多個(gè)賬號(hào)的資源安全,大幅提升安全運(yùn)維效率和降低采購(gòu)成本。云防火墻不僅提供了跨賬號(hào)統(tǒng)一安全策略配置的功能,用戶可以在一個(gè)統(tǒng)一的控制臺(tái)上配置和管理安全策略,無(wú)需逐個(gè)賬號(hào)進(jìn)行配置,而且還支持跨賬號(hào)集中管控VPC的流量安全。通過(guò)一個(gè)統(tǒng)一的入口,用戶可以監(jiān)控和管理各個(gè)賬號(hào)下VPC的流量,實(shí)現(xiàn)全面保護(hù)多重網(wǎng)絡(luò)邊界安全。
重保等強(qiáng)對(duì)抗場(chǎng)景的安全防護(hù)
云防火墻能夠通過(guò)批量封禁IP或域名、對(duì)攻擊者進(jìn)行溯源反擊、有效防止零日漏洞攻擊等來(lái)滿足您特殊業(yè)務(wù)時(shí)期的重保需求、以及對(duì)安全強(qiáng)對(duì)抗的需求等。
滿足等級(jí)保護(hù)或安全內(nèi)審等合規(guī)
南北向和東西向流量訪問(wèn)控制
部署云防火墻實(shí)現(xiàn)南北向和東西向訪問(wèn)的網(wǎng)絡(luò)流量分析、全網(wǎng)流量可視化、對(duì)主動(dòng)外聯(lián)行為的分析和阻斷、開(kāi)通或變更白名單策略。
部署云防火墻實(shí)現(xiàn)統(tǒng)一管理互聯(lián)網(wǎng)到業(yè)務(wù)的南北向訪問(wèn)策略和業(yè)務(wù)與業(yè)務(wù)之間的東西向微隔離策略,達(dá)到協(xié)議、端口、地域、應(yīng)用級(jí)訪問(wèn)控制粒度。
您需要根據(jù)業(yè)務(wù)部署云防火墻實(shí)現(xiàn)策略命中計(jì)數(shù)功能,確保沒(méi)有冗余的策略。云防火墻訪問(wèn)控制策略可配置優(yōu)先級(jí),您可以根據(jù)業(yè)務(wù)需求優(yōu)化訪問(wèn)控制列表。
部署云防火墻實(shí)現(xiàn)對(duì)進(jìn)出訪問(wèn)控制策略進(jìn)行嚴(yán)格設(shè)置。訪問(wèn)控制策略包括源類型、訪問(wèn)源、目的類型、目的、協(xié)議類型、目的端口、應(yīng)用協(xié)議、動(dòng)作、描述和優(yōu)先級(jí)。
部署云防火墻實(shí)現(xiàn)狀態(tài)級(jí)對(duì)互聯(lián)網(wǎng)上的惡意流量入侵活動(dòng)和常規(guī)攻擊行為進(jìn)行實(shí)時(shí)阻斷和攔截。
部署云防火墻實(shí)現(xiàn)跨VPC數(shù)據(jù)流的應(yīng)用協(xié)議、內(nèi)容的訪問(wèn)控制。
針對(duì)惡意流量的入侵防御機(jī)制
部署云防火墻實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)上的惡意流量入侵活動(dòng)和常規(guī)攻擊行為進(jìn)行實(shí)時(shí)阻斷和攔截。
部署云防火墻實(shí)現(xiàn)出方向流量的主動(dòng)外聯(lián)、失陷感知等出方向流量分析和攻擊防護(hù)及訪問(wèn)控制。
部署云防火墻結(jié)合威脅情報(bào)和智能引擎等對(duì)云上進(jìn)出網(wǎng)絡(luò)的惡意流量進(jìn)行實(shí)時(shí)檢測(cè)與阻斷,支持防御挖礦蠕蟲等新型網(wǎng)絡(luò)攻擊,并通過(guò)積累大量惡意攻擊樣本,形成精準(zhǔn)防御規(guī)則。云防火墻入侵檢測(cè)功能支持發(fā)現(xiàn)挖礦蠕蟲感染事件。
部署云防火墻實(shí)現(xiàn)攻擊行為的檢測(cè)和記錄,提供網(wǎng)絡(luò)阻斷功能,記錄風(fēng)險(xiǎn)級(jí)別、事件名稱、防御狀態(tài)、源IP、目的IP、方向、判斷來(lái)源、發(fā)生時(shí)間和動(dòng)作。
部署云防火墻實(shí)現(xiàn)網(wǎng)絡(luò)惡意代碼攻擊的檢測(cè)和防護(hù),并定期實(shí)時(shí)在線更新惡意代碼檢測(cè)規(guī)則。
針對(duì)威脅事件提供日志溯源能力
部署云防火墻利用日志審計(jì)模塊記錄所有流量日志、事件日志和操作日志。
部署云防火墻實(shí)現(xiàn)日志記錄事件被掃描到的時(shí)間、威脅類型、進(jìn)出方向、源IP和目的IP、應(yīng)用類型、嚴(yán)重性等級(jí)以及動(dòng)作狀態(tài)等信息。
部署云防火墻實(shí)現(xiàn)日志分析功能,依托日志服務(wù)產(chǎn)品,存儲(chǔ)日志數(shù)據(jù),并提供實(shí)時(shí)日志分析能力。
具體信息,請(qǐng)參見(jiàn)等保合規(guī)能力說(shuō)明。