阿里云防火墻和安全組有什么差異?
時間:2021-04-03 | 欄目:幫助教程 | 點擊:次
本文檔介紹了云防火墻和安全組的主要差異。
安全組是ECS提供的用于設置ECS實例間訪問控制的虛擬主機防火墻,是一種分布式的防火墻。
云防火墻是互聯網邊界防火墻、VPC邊界防火墻(VPC邊界防火墻功能即將上線)、主機邊界防火墻的統稱,為用戶提供互聯網、虛擬網絡、主機三種邊界防護。
云防火墻相對安全組的獨有功能
支持應用級別的訪問控制。例如:可以配置HTTP協議放通,其HTTP服務可以運行在任意端口。
支持域名級別的訪問控制。例如:可以配置只允許所有ECS到*.aliyun.com的請求。
支持地址簿,可以將一組IP、端口或者具有相同標簽的ECS配置為一個地址簿,方便用戶進行配置。
提供IPS功能,支持常見系統漏洞防護。
支持暴力破解防護。
提供觀察模式,并提供完整流日志,分析阻斷數據。
云防火墻相對安全組的增強功能
云防火墻的主機防火墻底層使用了安全組的能力。用戶既可以在云防火墻-主機防火墻處配置策略也可以在安全組控制臺配置策略,兩者配置自動保持同步。云防火墻相對安全組提供了一些增強功能:
支持策略的批量發布。
支持策略組初始模板。
同應用組配合,自動創建安全組。
支持組內ECS實例間默認不通。
為什么會有三種云防火墻
云防火墻是互聯網邊界防火墻、VPC邊界防火墻、主機邊界防火墻的統稱,為用戶提供互聯網、虛擬網絡、主機三種邊界防護。
互聯網邊界防火墻作用于互聯網邊界,對所有公網IP統一管控;主機防火墻對應安全組,對ECS間通信進行管控。互聯網邊界防火墻/主機防火墻原理圖和位置如下:
VPC邊界防火墻作用于VPC邊界,對某一高速通道流量進行管控。VPC邊界防火墻原理圖和位置如下:
三種防火墻配合使用,可以讓用戶精細化地管控數據訪問行為,同時也組成了互聯網邊界-虛擬網絡邊界-主機邊界三層縱深防御體系:
對于需要精細化訪問控制的需求,云防火墻提供集中式的訪問控制,也就是內對外、外對內訪問控制策略,提供了應用、域名等精細化訪問控制策略,并可以統一管控所有VPC、所有區域,并提供觀察模式、地址簿等優化策略配置功能,配置相對簡單。
對于微隔離的訪問控制需求,云防火墻提供分布式的訪問控制,目前底層利用的是安全組能力,同時提供所有內部流量的可視能力,幫助用戶優化內對內對策略。后續會提供策略的觀察模式、攔截訪問分析、智能策略等能力。
根據網絡邊界配置防火墻,便于邏輯分層,同時也方便后續維護。如用戶只有公網防護需求,就只需要在互聯網邊界防火墻處配置南北向策略(即內-外或外-內訪問控制策略)。如果同時有主機防護需求,可以在主機防火墻處只配置東西向策略(即內-內訪問控制策略)。