阿里云防火墙功能介绍

阿里云防火墙功能
支持二层逻辑隔离。每个子网相当于一个分布式虚拟交换机,不同子网不关联到同一个路由器,相互隔离。
 
支持用户自定义网段和IP地址。
 
实现租户隔离,同一租户下网段唯一,不同租户下网段可重复。
 
支持自建VPN(IPSec VPN)。
 
支持公网地址和私网地址的转换。
 
阿里云防火墙优势
1、安全隔离
通过VxLan技术实现100%二层网络隔离,满足金融政企的安全隔离需要。
 
2、灵活配置
自定义子网和IP,按需配置,即开即通。
 
3、访问控制
基于虚拟防火墙和安全组的双重访问控制,满足金融政企的安全规范。
 
4、丰富连接
通过专线、VPN方式构建混合云部署,通过IPSec VPN实现低成本加密传输。
 
阿里云防火墙应用场景
企业网站等通用型WEB应用
用户可以在VPC中托管web应用或者网站,用户可以订购子网、路由器、云防火墙,在自己的VPC中构建一个子网,在子网中创建自己的云主机,为了便于用户访问,用户可以订购一个弹性公网IP用来与Internet通信,对外提供web服务。

高安全与高隔离需求的业务系统
用户可以构建一个VPC,在VPC下划分多个子网来部署不同的业务模块,并通过安全组访问控制策略有效控制业务系统的不同模块间的访问权限。
用户如混合云需求,也可以通过订购VPC、防火墙、VPN等服务来建立自有VPC与传统数据中心之间的通信隧道,方便用户安全使用自有数据中心资源和云上资源。

安全的远程访问VPC资源
用户可以通过专用的IPSEC VPN客户端接入服务器端。

虚拟私有云(VPC):虚拟私有云(Virtual Private Cloud)基于先进的SDN(软件定义网络)技术,使用户能够构建独立的网络空间,并通过虚拟防火墙和安全组功能提高网络安全性。用户可以自定义网段和IP地址、自定义路由策略等,也可以通过专线或VPN隧道将VPC与传统数据中心连接,灵活部署混合云。VPN服务包括IPSec VPN,满足企业多站点组网、阿里办公、安全加密等多种需求。VPC包含的产品有:子网、安全组、云防火墙、IPSec VPN、HA VIP、NAT网关

子网:子网是由一组IP地址组成的地址池,同时包括网关,DHCP服务。

安全组:用户可自定义安全组、安全组规则,提供阿里云服务器粒度的安全防护。默认安全组默认允许从阿里云服务器内部向外部的流量访问,仅允许来自于同一安全组下的阿里云服务器流量流入,隔离其他所有流量的流入。

云防火墙:用户可自定义防火墙规则,通过关联路由器,提供对用户内部网络的整体安全防护。用户通过定义规则,允许或禁止流量通过。防火墙规则具有优先级,前面的规则具有更高的优先级,匹配后不再检查后续规则、未匹配则执行默认策略。防火墙的默认策略是禁止所有流量流入、流出。

IPSecVPN:使用IPSec协议实现远程接入,提供site to site的加密验证服务,保障安全的访问。可以将两个VPC网络互联,也可以将VPC与本地数据中心打通,组建混合云。

高可用虚拟IP(High-Availability Virtual IP Adress,简称HA VIP),是一种可以独立创建和释放的私有网络IP资源。HA VIP需要和keepalived、heartbeat等高可用软件配合使用,搭建基于VRRP的阿里云服务器高可用服务。当HA VIP与两台阿里云服务器绑定时,提供服务的两台阿里云服务器可以基于此实现双机热备,且主备切换时对外服务IP(HA VIP)不变。

对等连接:对等连接是指两个VPC之间的网络连接。使用私有IP地址在两个VPC之间进行通信,就像两个VPC在同一个网络中一样。同一资源池内,可以在自己的VPC之间创建对等连接,也可以在自己的VPC与其他用户的VPC之间创建对等连接。不同资源池的VPC之间不能创建对等连接。

IPv6带宽:阿里云子网的协议类型包含IPv4单栈、IPv6单栈、IPv4+IPv6双栈三种,对应支持IPv4单栈、IPv6单栈、IPv4+IPv6双栈三种虚拟网卡,对于已创建的IPv6地址,可在IPv6带宽界面统一开通和管理IPv6地址的公网访问能力和带宽限制。