阿里雲防火牆和安全組都有什麼差異?

阿里雲防火牆和安全組都有什麼差異?

最近有很多朋友想了解阿里雲防火牆和安全組有什麼不同?小編趙一八筆記()特意從網上式整理相關資料，希望能夠幫到大家。

相關產品：阿里雲Web應用防火牆，緩解惡意CC攻擊  

安全組是ECS提供的用於設定ECS例項間訪問控制的虛擬主機防火牆，是一種分散式的防火牆。

雲防火牆是網際網路邊界防火牆、VPC邊界防火牆(VPC邊界防火牆功能即將上線)、主機邊界防火牆的統稱，為使用者提供網際網路、虛擬網路、主機三種邊界防護。

雲防火牆相對安全組的獨有功能

•支援應用級別的訪問控制。例如：可以配置HTTP協議放通，其HTTP服務可以執行在任意埠。

•支援域名級別的訪問控制。例如：可以配置只允許所有ECS到*.aliyun.com的請求。

•支援地址簿，可以將一組IP、埠或者具有相同標籤的ECS配置為一個地址簿，方便使用者進行配置。

•提供IPS功能，支援常見系統漏洞防護。

•支援暴力破解防護。

•提供觀察模式，並提供完整流日誌，分析阻斷資料。

雲防火牆相對安全組的增強功能

雲防火牆的主機防火牆底層使用了安全組的能力。使用者既可以在雲防火牆-主機防火牆處配置策略也可以在安全組控制檯配置策略，兩者配置自動保持同步。雲防火牆相對安全組提供了一些增強功能：

•支援策略的批次釋出。

•支援策略組初始模板。

•同應用組配合，自動建立安全組。

•支援組內ECS例項間預設不通。

為什麼會有三種雲防火牆?

雲防火牆是網際網路邊界防火牆、VPC邊界防火牆、主機邊界防火牆的統稱，為使用者提供網際網路、虛擬網路、主機三種邊界防護。

網際網路邊界防火牆作用於網際網路邊界，對所有公網IP統一管控;主機防火牆對應安全組，對ECS間通訊進行管控。網際網路邊界防火牆/主機防火牆原理圖和位置如下：

VPC邊界防火牆作用於VPC邊界，對某一高速通道流量進行管控。VPC邊界防火牆原理圖和位置如下：

三種防火牆配合使用，可以讓使用者精細化地管控資料訪問行為，同時也組成了網際網路邊界-虛擬網路邊界-主機邊界三層縱深防禦體系：

•對於需要精細化訪問控制的需求，雲防火牆提供集中式的訪問控制，也就是內對外、外對內訪問控制策略，提供了應用、域名等精細化訪問控制策略，並可以統一管控所有VPC、所有區域，並提供觀察模式、地址簿等最佳化策略配置功能，配置相對簡單。

•對於微隔離的訪問控制需求，雲防火牆提供分散式的訪問控制，目前底層利用的是安全組能力，同時提供所有內部流量的可視能力，幫助使用者最佳化內對內對策略。後續會提供策略的觀察模式、攔截訪問分析、智慧策略等能力。

根據網路邊界配置防火牆，便於邏輯分層，同時也方便後續維護。如使用者只有公網防護需求，就只需要在網際網路邊界防火牆處配置南北向策略(即內-外或外-內訪問控制策略)。如果同時有主機防護需求，可以在主機防火牆處只配置東西向策略(即內-內訪問控制策略)。