云防火墙（原生版）与Web应用防火墙（原生版）有什么区别？

Web应用防火墙（原生版）针对 Web 业务防护，对非 Web 类业务没有防护能力，且只防护由外对内的攻击。对业务的恶意主动外联没有监测和防护能力。

云防火墙（原生版）包含全部业务防护，支持对 Web 漏洞的基础防护，同时支持内对外的主动外联流量检测。支持失陷主机和恶意外联的自动拦截。

具体区别对比如下表：

类别
云防火墙
Web应用防火墙
产品定义
云防火墙（原生版）（CT-CFW，Cloud Firewall）是一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界管控与安全防护，并提供业务整体情况可视化、日志审计和分析等功能，帮助您完成网络边界防护与等保合规。
Web应用防火墙（原生版）（CT-WAF，Web Application Firewall）为用户Web应用提供一站式安全防护，对Web业务流量进行智能全方位检测，有效识别恶意请求特征并防御，避免源站服务器被恶意入侵，保护网站核心业务安全和数据安全。
防护对象
IP（弹性公网IP、内网IP等）
域名
网络层级
四层
七层
应用场景
边界网络防护
Web业务安全防护
核心技术
ACL访问控制、DPI深度包检测、IPS入侵检测技术
HTTP协议解析、Web攻击检测
安全能力
支持外部访问控制和主动外联管控，能够检测攻击者对用户网络发起的攻击，同时也能对用户网络主动外联行为进行分析，阻断由内而外的恶意连接行为，保护用户的资产安全。
集成机器学习检测引擎，支持专家经验特征与语义特征，有效检测SQL注入、XSS等基于形式语言的攻击类型，对OWASP常见攻击类型进行了良好覆盖。

Web应用防火墙建议使用场景：

当用户部署了对外提供服务的Web应用时，建议用户购买Web应用防火墙，以便能够保护所部署Web服务的安全。

注意
无论所部署的Web服务是否位于天翼云上，都可以购买天翼云Web应用防火墙（原生版）对用户的Web服务提供防护，天翼云Web应用防火墙（原生版）提供全球级服务，能够为用户任意位置的Web服务提供全面的Web安全保护。

云防火墙建议使用场景：

当用户在天翼云上购买了弹性云主机时，建议购买云防火墙，以便能够保护用户云上弹性云主机的安全。

注意
天翼云云防火墙仅能保护部署在天翼云内的弹性云主机网络安全，对于在其他位置的主机和网络设备，因其网络流量未流经天翼云，故天翼云云防火墙无法保护其网络安全。

云防火墙有QPS限制么？

云防火墙是SaaS化服务，通过ACL控制策略对用户的网络流量访问进行控制，为云上用户的网络提供边界网络防护，支持用户便捷的弹性扩张，区别于传统防火墙的硬件化部署模式，云防火墙不受硬件性能上限的制约，故对传统硬件防火墙的并发、新建、QPS等均不限制，只限制防护互联网边界访问的流量峰值。

注意
当用户互联网边界的流量超过防火墙防护的上限时，防火墙会直接转发超过峰值的流量，此时，该部分流量将不受防火墙访问控制策略以及安全策略的防护。
建议用户在进行防火墙服务购买时，充分评估流量峰值情况，并准备部分冗余规格，以便有效保证互联网边界在安全防护下，购买方式请参见订购。
当用户在使用过程中，因业务扩展，导致已经购买的产品规格不能满足业务的需要时，可提前对防火墙规格进行规划和扩张，变配方式请参见变配。

云防火墙支持其他云的服务器吗？

不支持，因防火墙设备属于四层的网络设备，其防护原理为通过对网络流量的访问控制及安全检测防护对用户的网络进行防护，故需要将用户的网络流量引流至防火墙设备，才能对对应的流量进行防护。而云防火墙是云原生的云上边界网络安全防护产品，主要用于云上网络的边界安全防护，通过云内网络路由及引流，将云内网络流量引流至云上防火墙，从而实现对云上网络设备的安全防护，故对于非本云上的服务器以及云下的硬件服务器，由于其网络流量未流经天翼云，不能对其进行安全防护。

注意
若用户购买了天翼云弹性云主机，并且部署需要联通互联网的云业务，建议用户一定要购买天翼云云防火墙对相关业务进行防护，以便保证该云业务免受来源于网络的恶意攻击。

云防火墙的防护策略顺序是什么？

云防火墙互联网边界防护的防护策略顺序为：黑名单规则 > 白名单规则 > 入向规则和出向规则 > 入侵防御规则。

• 黑白名单规则设置方法请参见配置黑白名单规则。
• 入向规则和出向规则设置方法请参见配置入向/出向规则。
• 入侵防御规则设置方法请参见防护配置。

说明
防火墙防护策略优先级判定顺序的设定为优先过滤黑名单流量，其次为白名单流量，然后为访问控制策略，最后为入侵防御策略。其设定原因如下：
为当用户设置黑名单后，此时系统认为黑名单流量即为垃圾流量，系统可根据用户设置的黑名单过滤掉恶意流量，以便系统后续处理非垃圾流量，保证系统处理的数据为用户的有效数据。
当流量经过黑名单过滤后，剩余流量为用户可能关注的流量，在此基础上，通过用户设置的白名单规则，系统可以过滤出用户确定关注的白名单流量，以便对有效流量进行处理，过滤出白名单流量后，系统会直接放行白名单流量至入侵防御策略处进行安全检测，不再进行访问控制。
对于非黑非白的流量，系统将对其进行访问控制检测，对于策略允许的流量进行放行，对于策略禁止的流量进行丢弃。放行后的流量依然需要进行安全检测。

云防火墙和安全组之间有什么区别？

• 安全组：安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量通行。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。安全组是用于云主机之间访问控制的一种安全策略，用户可以通过设置安全组规则，去控制云服务器的出入向流量。通过配置适当的规则，控制和保护加入安全组的弹性云服务器的访问。
• 云防火墙：提供统一的互联网边界管控与安全防护，并提供业务整体情况可视化、日志审计和分析等功能，完成网络边界防护与等保合规需求，主要用于用户虚拟网络中的ECS与互联网之间安全防护，支持外部访问控制欲主动外联管控，在进行访问控制的同时，还支持入侵防御，帮助用户建立边界网络防护基石。