云防火墙(Cloud Firewall)

防护范围

说明

相关文档

防护的云资产和流量

云防火墙可以防护以下云资产或流量：

互联网边界防火墙（南北向）：ECS公网IP、ECS EIP、ECS IPv6、CLB公网IP、CLB EIP、ALB EIP、NLB EIP、SLB IPv6、EIP（含L2 EIP）、ENI EIP、NAT EIP、HaVip EIP、堡垒机IP资产等。

NAT边界防火墙：私网访问公网的流量。

VPC边界防火墙（东西向）：

企业版转发路由器的VPC边界防火墙

同地域多个专有网络VPC（Virtual Private Cloud）互访的流量。

通过企业版转发路由器TR（Transit Router）实现跨地域多个VPC互访的流量。

VPC和边界路由器VBR（Virtual Border Router）互访的流量（即VPC和本地数据中心IDC互访的流量）。

VPC和云连接网CCN（Cloud Connect Network）互访的流量。

多个VBR互访的流量。

CCN和VBR互访的流量。

基础版转发路由器的VPC边界防火墙

同地域多个专有网络VPC（Virtual Private Cloud）互访的流量。

通过基础版转发路由器TR（Transit Router）实现跨地域多个VPC互访的流量。

VPC和边界路由器VBR（Virtual Border Router）互访的流量（即VPC和本地数据中心IDC互访的流量）。

VPC和云连接网CCN（Cloud Connect Network）互访的流量。

高速通道VPC边界防火墙

高速通道连接专有网络VPC（Virtual Private Cloud）模式下，同账号同地域多个VPC互访的流量。

VPC对等连接模式下，同地域多个VPC互访的流量。

主机边界防火墙：对ECS实例的出入流量进行访问控制。

说明

由于历史网络架构的原因，少量公网SLB不支持云防火墙引流，推荐您采用私网SLB加EIP的方案，将流量牵引到云防火墙上进行防护。

支持的云网络类型

VPC网络：全面支持阿里云VPC网络。

经典网络：互联网边界防火墙和威胁入侵检测（IPS）功能支持防护经典网络。主机边界防火墙支持防护VPC间的流量，不支持防护经典网络。

-

支持的地域

云防火墙支持的地域信息。

版本名称

能力说明

付费模式

免费版

云防火墙免费版提供基础的安全检查能力，可进行安全组检查、等保合规检测、资产异常情况通知服务。

当您的阿里云账号下存在可防护的云资产时，云防火墙免费版即可为您提供服务，无需购买。

按量版

云防火墙按量版支持防护公网资产，具备云上网络攻击感知概览、互联网访问控制策略配置、攻击防护、资产异常情况通知等能力，可以为公网资产提供可靠的安全防护。

按量付费模式，即先使用后付费的计费方式。

按量付费具有随时购买、随时升级、随时释放的特性，适用于业务用量变化频繁、资源使用有临时性和突发性等场景。

说明

云防火墙按量版支持搭配云防火墙按量节省套餐包使用，您可以通过承诺在一定期限内消费一定的金额，来换取较低的按量付费折扣。更多信息，请参见按量节省套餐包。

高级版

云防火墙高级版支持防护公网资产，具备云上网络流量分析防护、互联网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。

包年包月模式，即先付费后使用的计费方式。

相比于按量付费模式，包年包月可以提前预留资源，并且享受更低价格，适用于业务稳定、需要长期使用资源等场景。

企业版

云防火墙企业版支持防护公网资产、VPC资产和主机资产，具备云上网络流量分析防护、互联网和内网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。

云防火墙企业版覆盖了云防火墙高级版的全部能力，同时提供跨VPC网络安全防御、安全组统一管理与可视化等增值服务。

旗舰版

云防火墙旗舰版支持防护公网资产、VPC资产和主机资产，具备云上网络流量分析防护、互联网和内网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。

云防火墙旗舰版覆盖了云防火墙企业版的全部能力，相较于企业版，旗舰版具有更强的防护能力。