云防火墙主要包含互联网边界防火墙、VPC边界防火墙、主机边界防火墙，为您提供互联网、虚拟网络、主机三种边界防护。

互联网边界、主机边界防火墙和VPC边界防火墙配合使用，可以精细化地管控数据访问行为，同时也组成了互联网边界-虚拟网络边界-主机边界三层纵深防御体系。

满足精细化的访问控制需求

满足微隔离的访问控制需求

云防火墙可以防护以下云资产或流量：

功能名称 功能概述 免费版 按量版 高级版 企业版 旗舰版 相关文档 防火墙开关 防护互联网和公网IP（含IPv4和IP6）资产间的通信流量。 说明 按量版仅支持IPv4。      互联网边界防火墙 防护专有网络VPC（Virtual Private Cloud）之间、VPC和本地数据中心之间的流量。      VPC边界防火墙 防护私网IP资产访问互联网的流量。      NAT边界防火墙 防护VPC访问互联网指定域名的流量。      DNS防火墙 数据概览 展示云防火墙防护的云资产的流量拓扑图。      流量拓扑图 提供云防火墙的防御能力总览，展示最近7天访问流量统计数据和已检测出的安全风险统计数据。 说明 按量版不支持展示流量统计数据。      数据总览 访问控制 支持公网资产的入方向和出方向流量的访问控制（南北向），有效防止外部恶意攻击和黑客入侵，并且严格控制主动外联的出流量。      互联网边界防火墙 支持对私网IP访问公网的流量进行访问控制，有效拦截内部网络到公网的未授权访问。      NAT边界 支持两个VPC间、VPC和本地数据中心间的流量的访问控制，阻断未授权的流量访问，放行可信流量。      VPC边界 支持ECS实例间的入流量和出流量的访问控制（东西向），限制ECS实例间的未授权访问。      主机边界防火墙 支持ECS服务器安全组中的高危风险规则检测，并提供修复建议，帮助您更安全、更高效地使用安全组功能。      安全组检查 流量分析 实时监控云资产主动访问互联网的行为。      主动外联活动 检测云防火墙防护的云资产暴露在公网的IP地址、端口、应用数据，提供可视化分析报表。      公网暴露 实时监控互通的VPC之间的流量情况，帮助您实时获取VPC网络流量数据，及时发现和排查异常流量。      VPC互访 攻击防护 内置威胁检测引擎，支持配置攻击防护规则，实现更精准地识别和阻断入侵风险。 实时展示入侵防御、漏洞防护、失陷感知的防御数据，支持查看防御详情，并提供威胁检测引擎实时检测入侵活动的处置方案。 威胁引擎运行原理 说明 按量版不支持威胁情报功能、查看规则明细和自定义规则。 仅云防火墙企业版和旗舰版支持自定义基础防御规则和虚拟补丁规则。      防护配置 入侵防御 漏洞防护 失陷感知 日志分析 提供7天日志审计功能，便于您进行事件回溯、故障排查等。 支持审计的日志类型      日志审计 实时地自动采集、存储和分析出、入方向的流量日志，存储时长可自定义7~365天；支持基于特定指标，定制实时的监测与告警，确保在关键业务发生异常时能够及时响应。      日志分析 业务可视 支持通过自定义分组建立云资产的应用和应用组、业务区之间的关系。 支持业务可视，帮助您全面了解云资产的信息和访问关系。      自定义分组 安全组可视 应用分组可视 多账号管理 支持多账号统一管理，帮助您实现多个账号下的资源共享及流量安全访问。      多账号统一管理 资产异常告警 在资产出现流量异常、主机失陷、异常外联活动、漏洞风险、未开启保护、未开启入侵防护时，您可以及时通过短信或邮件收到通知。 说明 云防火墙免费版只支持周报通知项。 云防火墙按量版只支持失陷主机通知、漏洞实时防护通知、资产保护通知、入侵防护通知、新增公网资产和智能策略推荐通知项。      告警通知

全托管方式

简单易用

支持平滑扩展

系统稳定可靠

云上深度集成

实时入侵防御

业务关系可视

满足等保合规2.0要求

对出、入互联网的访问流量进行管控，拦截来自互联网的攻击和威胁，例如黑客入侵、挖矿和恶意流量等。

对内网中ECS服务器之间的访问流量进行管控，对不同的业务进行安全隔离，避免因某个ECS存在安全风险从而对整个云上业务产生安全威胁。

对VPC间的访问流量进行管控，实现VPC的分区防御。

对云资产主动外联的行为、互联网访问流量和内网ECS互访流量进行检测和分析，帮助您实时了解网络流量动态，以判断哪些云资产已经处于风险状态，并对这些异常行为进行实时阻断，防御潜在的风险。

让您全面了解资产的信息和访问关系，从而及时发现异常流量。

存储云资产的访问日志，助力网站符合等保合规要求。