与统一身份认证服务的关系
统一身份认证服务(Identity and Access Management,简称IAM)为云防火墙服务提供了权限管理的功能。用户在天翼云注册后自动创建主用户,该用户对其所拥有的资源具有完全的访问权限,拥有重置用户密码、分配用户等权限。用户可以通过为子用户配置不同的角色分配访问云防火墙(原生版)不同的权限。云防火墙(原生版)角色包含admin角色和viewer角色,其中admin角色拥有全局权限,可以使用云防火墙(原生版)的全部功能。viewer角色只拥有可读权限,只能查看云防火墙(原生版)相关数据,不能进行配置操作。
与Web应用防火墙(原生版)的区别
Web应用防火墙(原生版)针对Web业务防护,主要应用于对七层应用流量进行防护,其防护对象为域名相关的网站,主要防护Web攻击,通常在用户部署公网Web业务时,需要开启Web应用防火墙对网站进行防护,对非Web类业务没有防护能力,且只防护由外对内的攻击,对业务的恶意主动外联没有监测和防护能力。
云防火墙(原生版)包含全部业务防护,主要应用于对四层网络流量的防护和访问控制,其防护对象为用户的IP,支持对Web漏洞的基础防护以及其他网络层的攻击行为,同时还支持内对外的主动外联流量检测。支持失陷主机和恶意外联的自动拦截。通常在用户开通互联网访问时需要部署,是网络访问基础的防护设备。
具体区别对比如下表:
类别 云防火墙(原生版) Web应用防火墙(原生版) 产品定义 云防火墙(原生版)(CT-CFW,Cloud Firewall)是一款云原生的云上边界网络安全防护产品,可提供统一的互联网边界管控与安全防护,并提供业务整体情况可视化、日志审计和分析等功能,帮助您完成网络边界防护与等保合规。 Web应用防火墙(原生版)(CT-WAF,Web Application Firewall)为用户Web应用提供一站式安全防护,对Web业务流量进行智能全方位检测,有效识别恶意请求特征并防御,避免源站服务器被恶意入侵,保护网站核心业务安全和数据安全。 防护对象 IP(弹性公网IP、内网IP等) 域名 网络层级 四层 七层 应用场景 边界网络防护 Web业务安全防护 核心技术 ACL访问控制、DPI深度包检测、IPS入侵检测技术 HTTP协议解析、Web攻击检测 安全能力 支持外部访问控制和主动外联管控,能够检测攻击者对用户网络发起的攻击,同时也能对用户网络主动外联行为进行分析,阻断由内而外的恶意连接行为,保护用户的资产安全。 集成机器学习检测引擎,支持专家经验特征与语义特征,有效检测SQL 注入、XSS等基于形式语言的攻击类型,对OWASP常见攻击类型进行了良好覆盖。
Web应用防火墙建议使用场景:
当用户部署了对外提供服务的Web应用时,建议用户购买Web应用防火墙,以便能够保护所部署Web服务的安全。
注意无论所部署的Web服务是否位于天翼云上,都可以购买天翼云Web应用防火墙(原生版)对用户的Web服务提供防护,天翼云Web应用防火墙(原生版)提供全球级服务,能够为用户任意位置的Web服务提供全面的Web安全保护。
云防火墙建议使用场景:
当用户在天翼云上购买了弹性云主机时,建议购买云防火墙,以便能够保护用户云上弹性云主机的安全。
注意天翼云云防火墙仅能保护部署在天翼云内的弹性云主机网络安全,对于在其他位置的主机和网络设备,因其网络流量未流经天翼云,故天翼云云防火墙无法保护其网络安全。
与VPC的关系
VPC是基于天翼云创建的自定义私有网络,为弹性云主机提供一个逻辑上完全隔离的专有网络,您还可以在VPC中定义安全组、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络,进行安全、快捷的网络变更,详细内容请参见虚拟私有云。云防火墙目前仅支持VPC内绑定云主机资产的IP南北向的防护,并且需要您在同一个VPC内创建一个子网掩码不大于28的子网网段,用于云防火墙的部署,并确保该子网中不进行任何业务配置,只用于云防火墙的部署。
与弹性IP的关系
弹性IP(Elastic IP,EIP)是可以独立申请的公网IP地址,包括公网IP地址与公网出口带宽服务。可以与云主机、物理机、负载均衡、NAT网关等云产品动态绑定和解绑,实现云资源的互联网访问,详情请参见弹性IP。云防火墙会自动同步用户账号下的弹性IP资产,并显示其防护状态。用户可自主决策是否对弹性IP开启安全防护,首次购买后,您会自动进入防火墙控制台页面,同时防火墙自动为您同步资产,同步完成后,公网IP默认处于关闭防护状态,需要您手动“开启防护”,并去配置相关的规则。公网IP统计了您已开启和未开启防护的公网IP,对应防火墙状态中的“已防护”和“未防护”状态,未防护的统计所有绑定资产类型对应的公网IP。可用授权展示已经购买的云防火墙配额数,每个配额可防护一个VPC,您可以为该VPC中的所有IP开启防护。云防火墙(CFW)与EIP关系如下图:
