尊敬的腾讯云用户,您好!
为给您提供更加精细化、稳定、高质量的云防火墙服务,云防火墙将新增互联网边界串行防火墙能力并预计将于2023年08月开始逐渐灰度升级。互联网边界串行防火墙发布后,我们将同时拥有三种不同的南北向防护能力:互联网边界旁路防火墙、互联网边界串行防火墙、NAT 边界防火墙。
为便于您自行分配防火墙带宽,同时考虑到南北向防护功能的重合性,我们将于2023年11月01日00:00起,对云防火墙计费模式进行调整,具体产品升级和计费模式调整情况如下:
新版计费规格
计费相关 | 高级版 | 企业版 | 旗舰版 | 弹性扩展(不包括普惠版) |
计费模式 | 包年包月 | 包年包月 | 包年包月 | 不支持 |
基础价格 | 2800元/月 | 9600元/月 | 26000元/月 | 不支持 |
可购买时长 | 3个月、6个月、1年、2年、3年、5年 | 1个月、3个月、6个月、1年、2年、3年、5年 | | 不支持 |
折扣 | 购买6个月及以下:原价 购买1年:8.5折 购买2年:7折 购买3年及以上:5折 | | | 不支持 |
南北向防护带宽: 可用于分配至互联网边界旁路防火墙、互联网边界串行防火墙和 NAT 边界防火墙 | 默认20Mbps,可扩展到200Mbps | 默认100Mbps,可扩展到1Gbps | 默认300Mbps,可扩展到30Gbps | 扩展带宽100元/Mbps/月 |
公网 IP 数 | 10个 | 50个 | 200个 | 每扩展1Mbps南北向带宽,支持的公网 IP 数量增加1个 |
通用实例配额: 可用于创建互联网边界串行防火墙实例、NAT 边界防火墙实例、VPC间防火墙实例 | 1个 | 2个 | 3个 | 支持扩展,2000元/个/月 |
互联网访问控制 | 支持4/7出站或入站各1000条规则 | 支持4/7出站或入站各2000条规则 | 支持4/7出站或入站各5000条规则 | 不支持 |
互联网访问控制地域封禁 | 不支持 | 支持 | 支持 | 不支持 |
VPC 间防火墙带宽 | 不支持 | 默认200Mbps | 默认1000Mbps | 扩展10Mbps 的 VPC 间防火墙:50元/月;1Gbps以下的防火墙实例为轻量化实例,不包含入侵防御功能 |
网络蜜罐 | 支持,需要购买配额 | 支持,需要购买配额 | 支持,需要购买配额 | 500元/个/月,赠送1个探针配额 |
日志分析(分析+存储6个月)默认存储7天50GB容量 注:实际存储时长以您在控制台的配置为准 | 购买日志分析赠送1000GB,最大可扩展至100000GB | 购买日志分析赠送1000GB,最大可扩展至100000GB(支持企业安全组日志), 3000GB起购,赠送日志分析量 | 购买日志分析赠送1000GB,最大可扩展至100000GB(支持企业安全组日志), 5000GB起购,赠送日志分析量 | 弹性扩容:0.5元/GB/月,存储时间与版本购买时间相同 按量计费:1000GB至6120GB区间0.036元/GB/天,超过6120GB以上部分0.025元/GB/天 |
流量可视化 | 支持 | 支持 | 支持 | 不支持 |
入侵防御(IPS)(智能阻断入侵活动) | 支持 | 支持 | 支持 | 不支持 |
封禁列表 | 4000条 | 10000条 | 20000条 | 封禁列表容量扩容1元/条/月 |
集成威胁情报(自动阻断恶意外联) | 支持 | 支持 | 支持 | 不支持 |
微信远程运维 | 支持 | 支持 | 支持 | 不支持 |
企业级安全组 | 限时支持 | 支持 | 支持 | 不支持 |
安全基线 | 不支持 | 不支持 | 支持 | 不支持 |
新旧计费模式对比
1. 原互联网边界防火墙带宽升级为南北向防护带宽,每购买1Mbps南北向防护带宽会赠送1个互联网边界支持公网 IP 配额。
说明:
南北向防护带宽 = 互联网边界旁路防火墙带宽 + 互联网边界串行防火墙带宽 + NAT 边界防火墙带宽,您可以将南北向带宽分配至任意南北向防火墙中。
2. 原防火墙实例配额升级为通用实例配额;高级版、企业版、旗舰版分别含有1/2/3个通用实例配额数,支持扩展。
说明:
通用实例配额可用于创建互联网边界串行防火墙实例、NAT 边界防火墙实例或 VPC 间防火墙实例(仅限企业版及以上规格套餐)。
3. 原 VPC 防火墙带宽需要您通过购买 VPC 间防火墙功能进行扩展,本次计费模式调整后,企业版及以上规格套餐将新增赠送 VPC 间防火墙带宽配额,其中企业版赠送200Mbps,旗舰版赠送1Gbps。
注意:
老用户优惠政策
若您已经在新版计费生效前购买了云防火墙产品,为了感谢您一直以来对我们的支持,我们将在新版计费生效后,对您已购买的产品规格进行升级并为您赠送以下规格:
1. 截至新版计费生效日,对于您已购买的互联网边界防火墙带宽,我们将免费为您升级为南北向防护带宽,即您可将带宽任意分配至互联网边界旁路防火墙带宽、互联网边界串行防火墙带宽或 NAT 边界防火墙带宽。
2. 新版计费生效后,若您后续在套餐有效期内无降配行为,我们将持续为您赠送与当前购买的互联网边界防火墙带宽等额的互联网边界旁路防火墙带宽。
注意:
过去的版本中,为了满足部分客户对串行防火墙的需求,我们可能对符合要求的客户额外赠送了 NAT 边界防火墙带宽,新版计费生效时,前述 NAT 边界防火墙带宽将替换为等额赠送的互联网边界旁路防火墙带宽。
示例:
您在新版计费生效日时拥有100Mbps的互联网边界带宽配额、100Mbps的 NAT 边界防火墙赠送带宽配额,且当月无降配行为,则您在新版计费生效后可获得100Mbps的南北向防护带宽,以及100Mbps的互联网边界旁路防火墙带宽,其中:
1. 您已经使用的NAT边界防火墙带宽将占用购买的南北向防护带宽,如您需要重新分配可以前往控制台销毁 NAT 边界防火墙。
2. 赠送的100Mbps互联网边界旁路防火墙带宽为固定配额,且不可分配至其他类型防火墙。
3. 截至新版计费生效日,若您在计费生效前已拥有的防火墙实例配额大于新版套餐规格,且后续在套餐有效期内无降配行为,我们将在套餐有效期内为您补齐通用实例配额数至与“当前的 NAT 边界防火墙实例配额和已创建的 VPC 防火墙实例配额之和”等额。
示例:
您在新版计费生效日时为旗舰版用户,拥有 5 个 NAT 边界防火墙实例配额,并且已经创建了 1 个 VPC 间防火墙实例;虽然当前根据新版本仅拥有 3 个通用实例配额,但我们会在新版计费生效后自动为您补齐至 6 个通用实例配额。请注意已创建的防火墙实例会占用通用实例配额,如您需要重新分配可以前往控制台销毁防火墙实例。
4. 若您为企业版或旗舰版用户,在新版计费生效后我们会自动为您开通 VPC 间防火墙功能,并在您原已购买的 VPC 间防火墙(如有)基础上额外赠送新版套餐包含的 VPC 间防火墙带宽配额。
5. 若您在后续套餐有效期内发生降配行为,互联网边界旁路防火墙带宽及防火墙实例配额赠送规格将取消。同时,赠送的互联网边界旁路带宽配额以您在计费生效前拥有的互联网边界防火墙带宽配额为准(即上述第2点中说明的赠送内容),后续如您扩容,赠送的互联网边界旁路带宽及防火墙实例规格不会发生变化。
示例:
您在新版计费生效日时拥有100Mbps的互联网边界带宽配额,可获得100Mbps的互联网边界旁路带宽配额,后续如您额外扩容20Mbps南北向带宽,则扩容后可获得100Mbps的互联网边界旁路带宽与120Mbps的南北向防护带宽。
常见问题
我是老用户,计费更新后,我原来已经买的带宽会变少么?
不会。我们非常感激您对我们的信任和支持,在计费升级后,您原来购买的带宽(即互联网边界防火墙带宽,仅含有旁路带宽)可用配额相较于新版计费不仅不会变少,相反可用性会变得更灵活,可以任意分配至互联网边界旁路防火墙带宽、互联网边界串行防火墙带宽或 NAT 边界防火墙带宽。
示例:
您原来购买了100Mbps的互联网边界带宽,该带宽仅可在旁路模式使用,计费升级后,您将拥有100Mbps的南北向防护带宽,可在三种模式灵活使用(含旁路模式);且如不存在降配行为我们还会额外赠送100Mbps的互联网边界旁路防火墙带宽。如果您只使用互联网边界旁路防火墙,可以将南北向带宽全部分配至互联网边界旁路防火墙,实现带宽翻倍使用。
我是老用户,已创建的NAT边界防火墙,是否会受到计费调整影响?
不会。计费升级后,原互联网边界带宽升级为南北向防护带宽,您创建的 NAT 边界防火墙会占用南北向防护带宽配额。
我是老用户,已购买或创建的 VPC 间防火墙,是否会受到计费调整影响?
不会。如果您原来已经购买了 VPC 间防火墙,计费升级后配额仍然保留,并且会在原有配额基础上额外附赠套餐附带的 VPC 间防火墙带宽配额。例如您是旗舰版用户,原来已经购买了1Gbps的 VPC 间防火墙带宽;计费升级后,您将拥有2Gbps的 VPC 间防火墙带宽。
新版计费上线后,是否能选择原计费方案?
从新计费生效日起,新购云防火墙用户将自动适用新计费方案,无法选择旧的计费方案;对于新计费生效前购买云防火墙的用户,我们会自动为您切换至新版方案,并享受老用户优惠政策。
串行防火墙和旁路防火墙有什么区别?
串行防火墙(Inline Firewall)和旁路防火墙(Bypass Firewall)是两种不同的防火墙部署方式,它们在网络中的位置和工作原理有所不同。
串行防火墙:
串行防火墙是直接部署在网络数据流的路径上,所有经过的数据包都需要经过防火墙的检查和处理。
由于串行防火墙需要处理所有经过的数据包,因此对性能和处理能力有较高要求。如果防火墙性能不足,可能会成为网络瓶颈,影响网络速度和稳定性。因此串行防火墙需要每个地域新建一个防火墙实例并分配对应带宽。
串行防火墙可以对数据包进行深度检查和处理,提供较高的安全保障。它可以阻止恶意数据包进入网络,保护内部资源免受攻击。
旁路防火墙:
旁路防火墙不是直接部署在网络数据流的路径上,而是通过镜像或端口复制等技术,获取网络流量的副本进行分析和检测。
旁路防火墙只需要处理镜像流量,对性能和处理能力的要求相对较低。它可以在不影响网络性能的前提下,提供安全监控和告警功能。
旁路防火墙的安全防护能力相对有限,仅能防护 TCP、HTTP/HTTPS和TLS/SSL 协议的流量,且云内流量由于网络架构特性无法受旁路防火墙防护。旁路的架构可以通过抢答机制等技术,基于发送 TCP 的 RST 报文间接阻断攻击者与目标系统的连接。