云防火墙是什么?
腾讯云防火墙(Cloud Firewall,CFW)是一款基于公有云环境下的 SaaS 化防火墙,主要为用户提供互联网边界的防护,解决云上访问控制的统一管理、日志审计的安全和管理需求。云防火墙不仅具备传统防火墙功能,同时也支持云上多租户和弹性扩容功能,是用户业务上云的第一个网络安全基础设施。
云防火墙是否可以防护非腾讯云上的资产?
防火墙仅能防护腾讯云账号下的 IP 资产,不支持非腾讯云的资产。
云防火墙是否能部署在专有云上?
TCE 专有云从380版本后,开始支持云防火墙服务。
云防火墙和安全组有什么区别?
云防火墙和安全组是两个独立的系统,在外网 EIP 开启互联网开关开启的状态下,策略同时放通,流量才放行。
二者控制的目标不一样。 互联网边界防火墙控制的是公网 IP 的公网访问流量,安全组控制的是 CVM 网卡的所有流量。
云防火墙和安全组作用的粒度不一样的,安全组作用于实例,云防火墙作用于公网 IPS 、NAT 边界防护和 VPC 间的对等连接或云联网。
安全组 ACL 只是云防火墙最基本功能,云防火墙更重要的是有全流量日志审计及入侵防御(IPS)的实时拦截能力。
云防火墙、WAF 产品的区别?
WAF 只针对 Web 业务防护,对非 Web 类业务没有防护能力,且只防护由外对内的攻击。对业务的恶意主动外联没有监测和防护能力。
云防火墙包含全部业务防护,支持对 Web 漏洞的基础防护,同时支持内对外的主动外联流量检测。支持失陷主机和恶意外联的自动拦截。
云防火墙和安全运营中心都有流量威胁感知功能,这两者有什么差异?
云防火墙集成了企业级的 IPS 功能和 IDS 功能,对 0day 漏洞具备小时级的虚拟补丁能力,无需业务升级重启,这些能力是安全运营中心不具备的。
云防火墙可以防护 CDN 或 COS 吗?
云防火墙不支持 CDN、COS、高防 IP、Saas-WAF、cdb 等 SaaS 化服务产品的防护。
流量是先经过防火墙再经过其他产品么?CDN流量会受防火墙保护么?
CDN 节点 IP 属于 CDN 运营商所有,并不在您云墙保护范围内,仅在 CDN 回源 CLB/CVM 时才会经过云墙检测。高防 IP 回源到 CLB 也会过云墙,但是看到的都是高防 IP 的回源地址。
当前版本支持的公网 IP 类型为 BGP IP,暂不支持三网 IP。在识别用户资产时,云防火墙会自动过滤三网 IP。
云防火墙有 QPS 限制么?
云防火墙是 SaaS 化服务,对传统硬件防火墙的并发、新建、QPS 等均不限制,衡量云防火墙的唯一性能指标是实际的带宽吞吐量。
外部入站流量是先经过云防火墙还是 WAF?
对于入方向流量
SaaS-WAF 和云防火墙共同组成了云上网络安全的整体边界防护,WAF 更偏向于对加密的 HTTPS 流量进行防护,非加密流量通过云防火墙集成的 IPS (入侵防御系统)基础规则和虚拟补丁等进行安全防护。
SaaS-WAF 和云防火墙是并行工作,流量经过 SaaS-WAF 后,不再经过云防火墙。 如果需要串行部署,需要使用 CLB-WAF,流量先经过云防火墙,再经过 CLB-WAF。
说明
saas-waf 回源到 clb/cvm 的流量也不会经过云防火墙,源站 cvm 主动外联可通过 nat 防火墙去识别检测。
对于出方向流量
可以通过 NAT 边界 FW(防火墙),实现基于云服务器(CVM)颗粒度的主动外联控制,并且支持基于域名的访问控制,结合腾讯威胁情报,可对主动外联的恶意 IP 及域名进行自动拦截。
如未开启 NAT 边界 FW,则只能在互联网边界 FW,对 NAT gateway 后的流量进行访问控制,此时云防火墙看到的是公网 IP。