云服务器防火墙防火墙软件有哪些

云防火墙（CloudFirewall）帮助您在云上实现业务隔离和防护，确保业务安全且满足合规要求。本文介绍如何更好地使用云防火墙为您的业务提供防护保障。

基于业务类型、网络规模、业务管理等因素的影响，一般企业上云后的安全域处于默认模式，这样就会导致随着业务的发展，业务网络架构变得混乱。例如，开放了不必要的端口发布到互联网、内部通信访问权限太大等。如果业务被恶意入侵，会存在很大的安全隐患。

网络安全域类似酒店，每个不同的入住客人可以入住不同的楼层和房间，互不干扰。在实际的IT业务环境中，数据库服务器与供客户访问的Web服务器显然不是一个安全等级，测试环境的服务器与正式提供服务的生产服务器也不是一个安全等级。因此，我们要对相应的业务资产从业务功能、通信关系等方面划分安全域。

企业业务一般按业务维度划分为互联网业务、内部系统；按系统维度分区：生产、开发测试、共享区等。针对不同业务区可通过云防火墙实现安全域隔离和防护。

可选：配置统一隔离区DMZ（DemilitarizedZone）VPC，搭配弹性公网IP（简称EIP）、负载均衡SLB、ECS公网等提供互联网入向连接。

可选：配置统一隔离区DMZ（DemilitarizedZone）VPC或不同业务VPC，搭配弹性公网IP（简称EIP）、NAT网关等提供互联网出向连接。

配置云企业网（CEN），推荐企业版转发路由器，绑定VPC实现云上网络实例互联，或绑定VBR实现跨云互联互访。

配置云防火墙VPC边界防火墙实现云上跨VPC或跨云业务流量安全4~7层访问控制和横向攻击防护和审计溯源。

配置云企业网（CEN）或高速通道，本地IDC机房通过VBR接入云企业网或高速通道与云上VPC业务区互访。

配置VPC边界防火墙实现本地IDC机房与云上VPC业务区互访异常流量监控、4~7层精细化访问控制策略访问控制、横向攻击防护、日志审计等。

针对大型的集团子公司业务：生产网的安全域又会分为集团安全域、子分公司安全域等。集团安全域又划分为生产网外网区、内网区和生产网DMZ区。生产内网的安全域又会根据业务类型的不同分为普通业务安全域、核心业务安全域、数据库安全域等。

针对一般的小型公司业务：根据业务类型、功能模块、网络通信关系等维度，划分为普通业务安全、核心业务安全域、数据安全域、DMA安全域（邮件系统、门户网站）等。

部署云防火墙实现南北向和东西向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。

部署云防火墙实现统一管理互联网到业务的南北向访问策略和业务与业务之间的东西向微隔离策略，达到协议、端口、地域、应用级访问控制粒度。

您需要根据业务部署云防火墙实现策略命中计数功能，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。

部署云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。

部署云防火墙结合威胁情报和智能引擎等对云上进出网络的恶意流量进行实时检测与阻断，支持防御挖矿蠕虫等新型网络攻击，并通过积累大量恶意攻击样本，形成精准防御规则。云防火墙入侵检测功能支持发现挖矿蠕虫感染事件。

部署云防火墙实现攻击行为的检测和记录，提供网络阻断功能，记录风险级别、事件名称、防御状态、源IP、目的IP、方向、判断来源、发生时间和动作。

部署云防火墙实现日志记录事件被扫描到的时间、威胁类型、进出方向、源IP和目的IP、应用类型、严重性等级以及动作状态等信息。

云防火墙分为按量版（含按量节省套餐包）、高级版、企业版和旗舰版四个版本，每个版本支持的功能、资产、带宽扩展规格不同。根据如下表格说明选择合适的版本。更多信息，请参见功能特性。

按量版（含按量节省套餐包）：云防火墙按量版采用先使用后付费的计费方式，可搭配按量节省套餐包（预付费）节省更多成本。

适用于资产数（一般公网资产10个以下）或流量较小（一般峰值带宽10Mbps以下）的中小企业场景。

包年包月版：高级版、企业版、旗舰版。包年包月是一种先付费后使用的预付费方式。通过包年包月，您可以提前预留资源，实现较大规格量资产的安全保护。

适用于资产数较多（一般公网资产10个以上）或流量较大（一般峰值带宽10Mbps以上）的企业场景。

互联网边界防火墙（南北向）：ECS公网IP、ECSEIP、ECSIPv6、CLB公网IP、CLBEIP、ALBEIP、NLBEIP、SLBIPv6、EIP（含L2EIP）、ENIEIP、NATEIP、HaVipEIP、堡垒机IP资产等。

VPC和边界路由器VBR（VirtualBorderRouter）互访的流量（即VPC和本地数据中心IDC互访的流量）。

高速通道连接专有网络VPC（VirtualPrivateCloud）模式下，同账号同地域多个VPC互访的流量。

由于历史网络架构的原因，少量公网SLB不支持云防火墙引流，推荐您采用私网SLB加EIP的方案，将流量牵引到云防火墙上进行防护。

经典网络：互联网边界防火墙和威胁入侵检测（IPS）功能支持防护经典网络。主机边界防火墙支持防护VPC间的流量，不支持防护经典网络。