为云上业务和资产保驾护航，只需要“它”就够了

关注腾讯云大学，了解行业最新技术动态

引言

企业“上云”过程中，会遇到哪些网络安全问题？云原生环境中，有怎样一款产品可以集成流量检测、威胁情报、漏洞补丁、访问控制等安全能力，为用户的云上业务和资产保驾护航？

本次课程我们邀请到腾讯安全云防火墙产品负责人 周荃，为大家介绍腾讯安全云防火墙的核心能力与用户价值，并提供基于云防火墙构建云原生安全体系的最佳实践。

讲师简介

毕业于复旦大学计算机工程专业，研究方向为网络与信息安全，加入腾讯后负责云防火墙产品设计与研发，从零到一搭建云原生环境下防火墙能力框架，为互联网金融、互联网教育、电商等行业提供等保、网络安全、架构规划、最佳实践解决方案。

（点击观看完整直播回顾）

企业上云面临哪些网络安全问题？

随着我国公有云市场的不断发展，越来越多的企业或客户选择将自己的业务系统迁移到云上。那么在上云的过程中，很多用户就会发现云环境和传统的网络存在很多差异，其中第一个，在云上申请和获取一个公网IP地址是十分便捷的，在云控制台上只要点击一个按钮就可以获得一个公网IP。我们接触到一些规模比较大的用户，他们有数以千计，甚至上万的公网IP，在这样一个数量基数下，会导致用户有大量的公网端口暴露在互联网当中，那么如何帮助用户对其公网进行统一的管理，进而统一地去管理用户在互联网上的所有流量，尤其是外到内的流量，这是我们要面临的第一个问题。

第二个问题，大家都知道在互联网的世界中，漏洞的出现是十分频繁的，每天都会有新的漏洞被暴露出来，因此漏洞的攻击是源源不断的。虽然腾讯云上有主机安全这样的产品，可以帮助用户解决云服务器当中的漏洞问题。但是也有用户会找到我们说，能不能有另外一种方式，在流量这一侧，针对漏洞攻击和漏洞利用的流量去做到智能识别和智能拦截，这是第二个问题。

第三，大部分的网络攻击和安全事件都具有极其明显的回联特征，比如用户云上的资产被爆破登录之后下载了挖矿的木马，那么下载了木马之后一定会定期地与黑客的域名及主机进行回联。所以如何自动地帮助用户去监测云上主机的主动外联行为，尤其是对于恶意地址、恶意域名的主动访问，并且在必要的时候进行自动阻断。这是我们面临的第三个问题，一个内到外的场景，也就是我们常说的主动外联。

最后则是一个内到内的场景，很多用户在将业务系统上云的时候发现云上的网络结构是VPC，也就是虚拟私有云。那么相对于传统网络中基于安全域及DMZ隔离区去划分业务系统，在云上是否能基于VPC这种结构去实现业务系统上云的最佳实践，并且实现VPC间的访问控制和流量可视化呢？这是我们面临的第四个问题。

什么是腾讯云防火墙？

为了满足用户需求，解决上述的这些问题，我们推出了一款产品——腾讯云防火墙。腾讯云防火墙是一款SaaS化防火墙产品，可以简单地认为腾讯云防火墙其实就是把传统的、硬件的下一代防火墙，也就是NGFW的能力迁移到了云环境当中。那么两者的区别在哪里呢？

区别就在于，云防火墙是通过SaaS化部署的形式，也就是说在性能上能够做到天然的弹性扩展和平行扩容。同时，在容灾、容备方面，由于腾讯云防火墙是内置集群部署技术，无需客户自己去购买、部署双机热备系统，能够原生地支持高可用和高性能。

图中左侧是用户网络结构在腾讯云中比较典型的架构情况，我们可以看到用户会根据VPC去划分业务系统，不同的业务系统之间由于有访问需求，就需要购买云上的对等连接或者是云联网这样的产品，做到VPC之间的互通互联。同时，VPC内的资产也会通过子网进行划分，并且可以直接通过公网IP直接访问互联网。

那么在这样一个流量的结构图当中，我们会为用户准备两道防火墙结构。首先，我们会在用户的网络和互联网的边界上部署一道互联网边界防火墙，用来集中地管理、监测用户的所有互联网流量，也就是我们常说的南北向流量。另一方面，我们也会在用户的VPC之间部署一道VPC防火墙，用来统一管理用户所有内到内的流量，也就是东西向流量。这两道墙我们又通过提供一个统一的控制平面，并且通过提供一些核心的安全能力，包括访问控制、威胁情报检测以及入侵防御系统，来实时保护用户的云上资产、云上业务以及云上流量的安全。

学习君微信

微信号：Tcloudedu

添加“学习君”微信

回复”关键词“加入交流群 

了解行业最新技术动态