API 文档

诚邀爱技术、爱分享的你,成为文档内容共建者> HOT

云防火墙是什么?

腾讯云防火墙(Cloud Firewall,CFW)是一款基于公有云环境下的 SaaS 化防火墙,主要为用户提供互联网边界的防护,解决云上访问控制的统一管理、日志审计的安全和管理需求。云防火墙不仅具备传统防火墙功能,同时也支持云上多租户和弹性扩容功能,是用户业务上云的第一个网络安全基础设施。

云防火墙是否可以防护非腾讯云上的资产?

防火墙仅能防护腾讯云账号下的 IP 资产,不支持非腾讯云的资产。

云防火墙是否能部署在专有云上?

TCE 专有云从380版本后,开始支持云防火墙服务。

云防火墙和安全组有什么区别?

云防火墙和安全组是两个独立的系统,在外网 EIP 开启互联网开关开启的状态下,策略同时放通,流量才放行。

  • 二者控制的目标不一样。 互联网边界防火墙控制的是公网 IP 的公网访问流量,安全组控制的是 CVM 网卡的所有流量。
  • 云防火墙和安全组作用的粒度不一样的,安全组作用于实例,云防火墙作用于公网 IPS 、NAT边界防护和 VPC 间的对等连接或云联网。
  • 安全组 ACL 只是云防火墙最基本功能,云防火墙更重要的是有全流量日志审计及入侵防御(IPS)的实时拦截能力。

云防火墙、WAF 产品的区别?

  • WAF 只针对 Web 业务防护,对非 Web 类业务没有防护能力,且只防护由外对内的攻击。对业务的恶意主动外联没有监测和防护能力。
  • 云防火墙包涵全部业务防护,支持对 Web 漏洞的基础防护,同时支持内对外的主动外联流量检测。支持失陷主机和恶意外联的自动拦截。

云防火墙和安全运营中心都有流量威胁感知功能,这两者有什么差异?

云防火墙集成了企业级的 IPS 功能和 IDS 功能,对 0day 漏洞具备小时级的虚拟补丁能力,无需业务升级重启,这些能力是安全运营中心不具备的。

云防火墙可以防护 CDN 或 COS 吗?

云防火墙不支持 CDN、COS、高防 IP、Saas-WAF、cdb 等 SaaS 化服务产品的防护。

流量是先经过防火墙再经过其他产品么?CDN流量会受防火墙保护么?

  • CDN 节点 IP 属于 CDN 运营商所有,并不在您云墙保护范围内,仅在 CDN 回源 CLB/CVM 时才会经过云墙检测。高防 IP 回源到 CLB 也会过云墙,但是看到的都是高防 IP 的回源地址。
  • 当前版本支持的公网 IP 类型为 BGP IP,暂不支持三网 IP。在识别用户资产时,云防火墙会自动过滤三网 IP。

云防火墙有 QPS 限制么?

云防火墙是 SaaS 化服务,对传统硬件防火墙的并发、新建、QPS 等均不限制,衡量云防火墙的唯一性能指标是实际的带宽吞吐量。

外部入站流量是先经过云防火墙还是 WAF?

对于入方向流量

  • SaaS-WAF 和云防火墙共同组成了云上网络安全的整体边界防护,WAF 更偏向于对加密的 HTTPS 流量进行防护,非加密流量通过云防火墙集成的 IPS (入侵防御系统)基础规则和虚拟补丁等进行安全防护。
  • SaaS-WAF 和云防火墙是并行工作,流量经过 SaaS-WAF 后,不再经过云防火墙。 如果需要串行部署,需要使用 CLB-WAF,流量先经过云防火墙,再经过 CLB-WAF。
    说明:

    saas-waf 回源到 clb/cvm 的流量也不会经过云防火墙,源站 cvm 主动外联可通过 nat 防火墙去识别检测。

对于出方向流量

  • 可以通过 NAT 边界 FW(防火墙),实现基于云服务器(CVM)颗粒度的主动外联控制,并且支持基于域名的访问控制,结合腾讯威胁情报,可对主动外联的恶意 IP 及域名进行自动拦截。
  • 如未开启 NAT 边界 FW,则只能在互联网边界 FW,对 NAT gateway 后的流量进行访问控制,此时云防火墙看到的是公网 IP。
目录