云防火墙是否可以防护非火山引擎上的资产?
云防火墙仅支持防护火山引擎账号下的云资产,不支持非火山引擎的资产。
云防火墙是否支持跨区域使用?
- 云防火墙支持的地域和可用区信息请参见地域和可用区。
- 云防火墙支持跨区域防护,您只需要购买一个防火墙版本规格即可防护不同区域的公网EIP流量、NAT网关流量、TR中转路由器流量。
云防火墙和安全组、网络ACL的访问控制有什么区别?
云防火墙、安全组、网络ACL是相互独立的系统,只有当这三个系统的策略都允许时,相关网络流量才能成功通过。
| 云防火墙 | 安全组 | 网络ACL |
|---|
定义 | 火山引擎云防火墙(Cloud Firewall,CFW)是一款云原生的云上边界网络安全防护产品,可提供互联网边界、VPC 边界、云上云下统一安全访问控制、流量可视、入侵防御和日志审计等功能。 | 安全组由一系列安全组规则组成,用于控制网卡的出入流量,每张网卡必须加入安全组。 | 网络ACL用于控制子网的出入流量,一个子网仅支持关联一个网络ACL。 |
防护对象 | | 网卡 | 子网 |
功能特性 | - 支持五元组访问控制
- 支持地理位置、域名、地址簿访问控制
- 支持入侵防御系统(IPS)
- 支持全流量日志审计
| | 支持五元组访问控制 |
访问控制策略数量 | - 最多可支持30万条访问控制策略
- 单条访问控制策略访问源、访问目的最多可配置共10万个IP地址段
| - 单个安全组默认支持创建的规则数量
- 入方向:IPv4规则200条,IPv6规则200条
- 出方向:IPv4规则200条,IPv6规则200条
- 如果默认配额无法满足需要,请前往 配额中心,申请提升配额
- 云服务器的每张网卡最多可关联5个安全组
| - 单个网络ACL默认支持创建的规则数量
- 入方向:IPv4规则20条,IPv6规则20条
- 出方向:IPv4规则20条,IPv6规则20条
- 优先级为 * 的默认规则不占用规则配额
- 如果默认配额无法满足需要,请前往 配额中心,申请提升配额
- 一个子网仅支持关联一个网络ACL,但一个网络ACL可以关联多个子网
|
云防火墙支持防护哪些范围?
- 互联网边界防护:为互联网与公网EIP之间的出入站流量提供安全防护。
- VPC边界防护:
- VPC之间的互联通信
- VPC与本地数据中心之间的通信(通过VPN或专线)
- VPC与第三方云平台之间的通信(通过VPN或专线)
- NAT边界防护,支持精确追踪流量到具体私网IP:
- 防护私网IP资产与互联网之间的SNAT出站流量
- 防护私网IP资产与互联网之间的DNAT入站流量
如果同时部署了DDoS防护、Web应用防火墙、云防火墙和高级网络威胁检测系统,业务入站流量如何走向?
如果同时部署了DDoS、Web应用防火墙、云防火墙和高级网络威胁检测系统,业务入站流量走向为:
DDoS/高级网络威胁检测系统 -> 云防火墙 -> Web应用防火墙(cname接入&负载均衡接入)。