本文档介绍了云防火墙和安全组的主要差异。
安全组是ECS提供的用于设置ECS实例间访问控制的虚拟主机防火墙,是一种分布式的防火墙。
云防火墙是互联网边界防火墙、VPC边界防火墙(VPC边界防火墙功能即将上线)、主机边界防火墙的统称,为用户提供互联网、虚拟网络、主机三种边界防护。
云防火墙相对安全组的独有功能
支持应用级别的访问控制。例如:可以配置HTTP协议放通,其HTTP服务可以运行在任意端口。
支持域名级别的访问控制。例如:可以配置只允许所有ECS到*.aliyun.com的请求。
支持地址簿,可以将一组IP、端口或者具有相同标签的ECS配置为一个地址簿,方便用户进行配置。
提供IPS功能,支持常见系统漏洞防护。
支持暴力破解防护。
提供观察模式,并提供完整流日志,分析阻断数据。
云防火墙相对安全组的增强功能
云防火墙的主机防火墙底层使用了安全组的能力。用户既可以在云防火墙-主机防火墙处配置策略也可以在安全组控制台配置策略,两者配置自动保持同步。云防火墙相对安全组提供了一些增强功能:
支持策略的批量发布。
支持策略组初始模板。
同应用组配合,自动创建安全组。
支持组内ECS实例间默认不通。
为什么会有三种云防火墙
云防火墙是互联网边界防火墙、VPC边界防火墙、主机边界防火墙的统称,为用户提供互联网、虚拟网络、主机三种边界防护。
互联网边界防火墙作用于互联网边界,对所有公网IP统一管控;主机防火墙对应安全组,对ECS间通信进行管控。互联网边界防火墙/主机防火墙原理图和位置如下:
VPC边界防火墙作用于VPC边界,对某一高速通道流量进行管控。VPC边界防火墙原理图和位置如下:
三种防火墙配合使用,可以让用户精细化地管控数据访问行为,同时也组成了互联网边界-虚拟网络边界-主机边界三层纵深防御体系:
对于需要精细化访问控制的需求,云防火墙提供集中式的访问控制,也就是内对外、外对内访问控制策略,提供了应用、域名等精细化访问控制策略,并可以统一管控所有VPC、所有区域,并提供观察模式、地址簿等优化策略配置功能,配置相对简单。
对于微隔离的访问控制需求,云防火墙提供分布式的访问控制,目前底层利用的是安全组能力,同时提供所有内部流量的可视能力,帮助用户优化内对内对策略。后续会提供策略的观察模式、拦截访问分析、智能策略等能力。
根据网络边界配置防火墙,便于逻辑分层,同时也方便后续维护。如用户只有公网防护需求,就只需要在互联网边界防火墙处配置南北向策略(即内-外或外-内访问控制策略)。如果同时有主机防护需求,可以在主机防火墙处只配置东西向策略(即内-内访问控制策略)。