时间:2024-12-04 点击: 次 来源:网络投稿 作者:网络投稿 - 小 + 大
本文档介绍了云防火墙和安全组的主要差异。 安全组是ecs提供的用于设置ecs实例间访问控制的虚拟主机防火墙,是一种分布式的防火墙。 云防火墙是互联网边界防火墙、vpc边界防火墙(vpc边界防火墙功能即将上线)、主机边界防火墙的统称,为用户提供互联网、虚拟网络、主机三种边界防护。 云防火墙相对安全组的独有功能 支持应用级别的访问控制。例如:可以配置http协议放通,其http服务可以运行在任意端口。 支持域名级别的访问控制。例如:可以配置只允许所有ecs到[*].aliyun.com的请求。 支持地址簿,可以将一组ip、端口或者具有相同标签的ecs配置为一个地址簿,方便用户进行配置。 提供ips功能,支持常见系统漏洞防护。 支持暴力破解防护。 提供观察模式,并提供完整流日志,分析阻断数据。 云防火墙相对安全组的增强功能 云防火墙的主机防火墙底层使用了安全组的能力。用户既可以在云防火墙[-]主机防火墙处配置策略也可以在安全组控制台配置策略,两者配置自动保持同步。云防火墙相对安全组提供了一些增强功能: 支持策略的批量发布。 支持策略组初始模板。 同应用组配合,自动创建安全组。 支持组内ecs实例间默认不通。 为什么会有三种云防火墙 云防火墙是互联网边界防火墙、vpc边界防火墙、主机边界防火墙的统称,为用户提供互联网、虚拟网络、主机三种边界防护。 互联网边界防火墙作用于互联网边界,对所有公网ip统一管控;主机防火墙对应安全组,对ecs间通信进行管控。互联网边界防火墙/主机防火墙原理图和位置如下: vpc边界防火墙作用于vpc边界,对某一高速通道流量进行管控。vpc边界防火墙原理图和位置如下: 三种防火墙配合使用,可以让用户精细化地管控数据访问行为,同时也组成了互联网边界[-]虚拟网络边界[-]主机边界三层纵深防御体系: 对于需要精细化访问控制的需求,云防火墙提供集中式的访问控制,也就是内对外、外对内访问控制策略,提供了应用、域名等精细化访问控制策略,并可以统一管控所有vpc、所有区域,并提供观察模式、地址簿等优化策略配置功能,配置相对简单。 对于微隔离的访问控制需求,云防火墙提供分布式的访问控制,目前底层利用的是安全组能力,同时提供所有内部流量的可视能力,帮助用户优化内对内对策略。后续会提供策略的观察模式、拦截访问分析、智能策略等能力。 根据网络边界配置防火墙,便于逻辑分层,同时也方便后续维护。如用户只有公网防护需求,就只需要在互联网边界防火墙处配置南北向策略(即内[-]外或外[-]内访问控制策略)。如果同时有主机防护需求,可以在主机防火墙处只配置东西向策略(即内[-]内访问控制策略)。 |
上一篇:如何将数据同步到阿里云oss?
下一篇:没有了