什么是云防火墙

防火墙是安全团队结合云原生的优势，自主研发的 SaaS 化防火墙产品，目前主要为用户提供 VPC 间和NAT 边界防护，并用于解决云上访问控制的统一管理与日志审计问题，具备传统防火墙功能的同时也支持云上多租户，是用户业务上云的网络安全基础设施。

产品功能

云防火墙概览

云防火墙为用户提供统一的网络访问控制中心点，通过控制台概览页租户可以直观清晰的查看到与防火墙相关内容，包含下列模块：

• 资产防护概况：展示流量带宽统计，安全策略配置和日志存储统计相关数据信息。
• 防火墙状态监控：显示近7天内，VPC 间及 NAT 边界峰值带宽。
• 流量统计：展示24h - 6个月范围内，VPC 间总流量大小。
• 安全策略配置：显示 互联网边界、NAT 边界、VPC 间的访问控制规则数量、剩余配额等。
• 日志存储统计：显示日志总内存、现有内存以及剩余可用容量。

云防火墙实例

• NAT 边界防火墙

NAT 边界防火墙是一种虚拟化的防火墙，原理类似于 NAT 网关，NAT 边界防火墙可以提供网络地址转换能力，以及访问控制及日志留存等安全审计功能。

• VPC 间防火墙

系统自动识别云租户内网的 VPC 数量以及连通状态与方式，并通过 VPC 网络拓扑的可视化视图展示。首次使用 VPC 边界防火墙，需要开启统一的 VPC 边界防火墙开关，开关开启后，系统自动为用户配置所有互通 VPC 的两两关系的子防火墙，用户可以开启或关闭子防火墙，同时也能基于 VPC 的两两关系进行访问控制规则配置。

• 跨租户VPC开关

在现有VPC间防火墙基础上，增加对跨租户对等连接的防护，用户可以对多个账号的多个VPC部署相同体验的防护方案。

资产中心

资产中心可查看和管理各资产的相关数据及信息。您可以通过查看内网资产，以及您全部私有网络的详细信息，来更好地把控资产现状、管理资产并预知和防控安全事件。

流量中心

流量中心基于 VPC 间流量的访问情况，对 VPC 间活动进行展示。

访问控制

访问控制规则是一个安全策略的集合，通过五元组形式定义，采用列表形式排列，对于每一条经过互联网边界的数据流，云防火墙都会根据规则列表执行顺序匹配五元组信息。若出现匹配的数据流，则按照该命中规则的动作，对该数据流执行相应的操作，以此满足租户对于公网 IP 的访问控制防护需求，并通过日志记录的形式满足用户安全运维审计的需求。

入侵防御

云防火墙根据防护模式，自动识别访问控制规则以外的未知风险，并对公网 IP 的南北向流量进行入侵防御规则检测，同时避免云服务器中的漏洞暴露在互联网中。

日志审计

云防火墙提供7天的规则命中日志记录功能，可以记录所有被执行防火墙动作的流量与对应生效规则，协助安全运维人员进行审计工作，当出现网络连接等故障时，可通过检索日志快速排障与修复。同时，也可以查看过去30天的操作历史，提升企业与网络安全管理员的工作效率，降低管理成本。

日志分析

可在日志分析中查看基于登录账号的云防火墙存储的全部流量日志详情，同时日志分析支持基于检索语句的日志检索与查询，并提供报表与统计分析服务。