云上企業級數據中心的網絡安全管控

針對企業業務上云，在云上構建大型數據中心等業務場景，云防火墻可以幫助您防護云上數據的安全，支持對全網流量深度分析、并對互聯網上全方位的惡意流量進行攻擊防護，提供自定義的訪問控制策略。

• 互聯網邊界防火墻

  互聯網邊界防火墻作用于互聯網邊界，對所有公網資產進出流量統一管控防護。您可以使用互聯網邊界防火墻，精細化管控業務公網資產出入互聯網的訪問流量，減少公網資產在互聯網的暴露面，降低業務流量的安全風險。

• NAT邊界防火墻

  VPC內資源（例如ECS、ECI等）通過NAT網關直接訪問互聯網時，可能存在未經授權的訪問、數據泄露、惡意流量攻擊等安全風險。為了降低這些風險，您可以開啟NAT邊界防火墻，利用云防火墻來攔截未授權的流量訪問。

• VPC邊界防火墻

  VPC邊界防火墻幫助您檢測和管控通過企業版轉發路由器、基礎版轉發路由器以及高速通道打通的專有網絡VPC之間、VPC和本地數據中心之間的東西向流量，實現云上跨VPC之間、VPC與本地數據中心（VBR）、VPC到三方云（VBR）、VPC與VPN之間內網訪問流量安全。

• 主機邊界防火墻

  主機邊界防火墻支持托管ECS安全組，對VPC內ECS實例的出入流量進行訪問控制。主機邊界防火墻的訪問控制策略發布后，會自動同步到ECS安全組并生效。同時支持安全組合規檢查和安全組微隔離可視化。

混合云（IDC+云上）業務或DMZ上云的高級防護

云防火墻提供了全面的流量防護功能，其中包括對DMZ南北向的流量防護，以及對IDC與VPC間的東西向流量進行防護，能夠有效保障您的線下IDC與云上資產之間的流量，同時保障混合云業務的安全互通。此外，當業務的DMZ部署在云上時，云防火墻同樣能確保其與線下IDC之間流量的安全性。

多賬號統一管控場景安全防護

為了解決多賬號資源安全管控和降低安全運維成本，云防火墻結合資源目錄服務，為用戶提供了多賬號統一管理方案。只需開啟多賬號統一管理，用戶即可在云防火墻控制臺集中保護多個賬號的資源安全，大幅提升安全運維效率和降低采購成本。云防火墻不僅提供了跨賬號統一安全策略配置的功能，用戶可以在一個統一的控制臺上配置和管理安全策略，無需逐個賬號進行配置，而且還支持跨賬號集中管控VPC的流量安全。通過一個統一的入口，用戶可以監控和管理各個賬號下VPC的流量，實現全面保護多重網絡邊界安全。

重保等強對抗場景的安全防護

云防火墻能夠通過批量封禁IP或域名、對攻擊者進行溯源反擊、有效防止零日漏洞攻擊等來滿足您特殊業務時期的重保需求、以及對安全強對抗的需求等。

滿足等級保護或安全內審等合規

南北向和東西向流量訪問控制

• 部署云防火墻實現南北向和東西向訪問的網絡流量分析、全網流量可視化、對主動外聯行為的分析和阻斷、開通或變更白名單策略。

• 部署云防火墻實現統一管理互聯網到業務的南北向訪問策略和業務與業務之間的東西向微隔離策略，達到協議、端口、地域、應用級訪問控制粒度。

• 您需要根據業務部署云防火墻實現策略命中計數功能，確保沒有冗余的策略。云防火墻訪問控制策略可配置優先級，您可以根據業務需求優化訪問控制列表。

• 部署云防火墻實現對進出訪問控制策略進行嚴格設置。訪問控制策略包括源類型、訪問源、目的類型、目的、協議類型、目的端口、應用協議、動作、描述和優先級。

• 部署云防火墻實現狀態級對互聯網上的惡意流量入侵活動和常規攻擊行為進行實時阻斷和攔截。

• 部署云防火墻實現跨VPC數據流的應用協議、內容的訪問控制。

針對惡意流量的入侵防御機制

• 部署云防火墻實現對互聯網上的惡意流量入侵活動和常規攻擊行為進行實時阻斷和攔截。

• 部署云防火墻實現出方向流量的主動外聯、失陷感知等出方向流量分析和攻擊防護及訪問控制。

• 部署云防火墻結合威脅情報和智能引擎等對云上進出網絡的惡意流量進行實時檢測與阻斷，支持防御挖礦蠕蟲等新型網絡攻擊，并通過積累大量惡意攻擊樣本，形成精準防御規則。云防火墻入侵檢測功能支持發現挖礦蠕蟲感染事件。

• 部署云防火墻實現攻擊行為的檢測和記錄，提供網絡阻斷功能，記錄風險級別、事件名稱、防御狀態、源IP、目的IP、方向、判斷來源、發生時間和動作。

• 部署云防火墻實現網絡惡意代碼攻擊的檢測和防護，并定期實時在線更新惡意代碼檢測規則。

針對威脅事件提供日志溯源能力

• 部署云防火墻利用日志審計模塊記錄所有流量日志、事件日志和操作日志。

• 部署云防火墻實現日志記錄事件被掃描到的時間、威脅類型、進出方向、源IP和目的IP、應用類型、嚴重性等級以及動作狀態等信息。

• 部署云防火墻實現日志分析功能，依托日志服務產品，存儲日志數據，并提供實時日志分析能力。

具體信息，請參見等保合規能力說明。