云防火墙支持线下服务器吗?
不支持,云防火墙支持云上Region级服务。
云防火墙支持防护哪些范围?
云防火墙是新一代的云原生防火墙,支持防护的范围如下:
互联网边界:支持防护EIP的流量,包括入方向(从互联网到防火墙)和出方向(从防火墙到互联网)的流量。
VPC边界:支持防护VPC与VPC之间、云上VPC与本地IDC之间的流量;不支持防护VPC内的流量。
NAT网关分为以下两种场景:
防护NAT网关绑定的EIP,仅审计EIP的流量。
防护SNAT和DNAT流量(依赖VPC边界防火墙),支持溯源到私网IP。
云防火墙支持的QPS、新建/并发连接数大小是多少?
云防火墙作为SaaS化服务,不受传统硬件防火墙在新建连接数、并发连接数以及QPS等方面的限制,衡量云防火墙性能的唯一标准是实际的防护带宽大小。
防护带宽定义如下:
防护带宽:所有经过云防火墙防护的业务带宽。
互联网边界防护带宽:所有经过云防火墙防护的EIP的流量总和最大值,按照入云流量(入流量)或出云流量(出流量)的最大值取值。
VPC边界防护带宽:所有经过云防火墙防护的VPC的流量总和最大值。
云防火墙支持跨账号使用吗?
云防火墙不支持跨账号使用。用户仅能使用并管理当前账号下的云防火墙资源。
云防火墙与Web应用防火墙有什么区别?
云防火墙(CFW)和Web应用防火墙(WAF)是两款不同的产品,为您的互联网边界和VPC边界、Web服务提供防护。
CFW和WAF的主要区别说明如下:
| 类别 | 云防火墙 | Web应用防火墙 |
|---|---|---|
| 定义 | 云防火墙(Cloud Firewall,CFW)是新一代的云防火墙,提供云上互联网边界和VPC边界的防护,包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等,同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求,极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 | Web应用防火墙(Web Application Firewall,WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。 |
| 防护对象 |
|
|
| 功能特性 |
| SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。 |
云防火墙和安全组、网络ACL的访问控制有什么区别?
云防火墙、安全组、网络ACL都可以实现通过IP地址/IP地址组设置访问控制策略,为您的互联网边界和VPC边界、弹性云服务器、子网提供防护。
云防火墙和安全组、网络ACL的主要区别如下所示。
| 类别 | 云防火墙 | 安全组 | 网络ACL |
|---|---|---|---|
| 定义 | 云防火墙(Cloud Firewall,CFW)是新一代的云原生防火墙,提供云上互联网边界和VPC边界的防护,包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等,同时支持AI提升智能防御能力满足云上业务的变化和扩张需求,极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 | 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当实例加入该安全组后,即受到这些访问规则的保护。 | 网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的网络流量。 |
| 防护场景 |
| 弹性云服务器 | 子网 |
| 功能特性 |
| 支持三元组(即协议、端口和对端地址)过滤。 | 支持五元组(即源IP地址、目的IP地址、协议、源端口、目的端口)过滤。 |
QPS高,流量峰值就高吗?
QPS高,流量峰值不一定高。流量峰值根据源站的带宽估计。
云防火墙的防护顺序是什么?
云防火墙匹配防护规则的优先级由高到低为:白名单 > 黑名单 > 防护策略(ACL)> 基础防御(IPS)。
如果有某一个策略为空时,则跳过匹配下一策略。
是否支持同时部署WAF和CFW?
支持,同时部署时,流量会先经过CFW,再经过WAF,流量走势为:互联网 -> CFW -> WAF(独享模式)-> 源站。
云防火墙日志默认存储多长时间?
云防火墙支持免费查询和导出7天内的日志记录,请参见“日志查询”。
将单个或者多个日志记录至LTS中,支持查看1~365天的日志记录,请参见“日志管理”。
说明
LTS按流量单独计费。
