云防火墙和安全组、网络ACL的访问控制有什么区别？

定义

云防火墙（Cloud Firewall，CFW）是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。

安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。

有关安全组的详细介绍，请参见安全组和安全组规则。

网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的网络流量。

有关网络ACL的详细介绍，请参见网络ACL。

防护场景

• 互联网边界
• VPC边界
• SNAT场景

弹性云服务器

子网

功能特性

• 支持五元组（即源IP地址、目的IP地址、协议、源端口、目的端口）过滤。
• 支持通过地理位置、域名、域名组、黑/白名单过滤。
• 支持入侵防御系统（IPS）、病毒防御（AV）功能。

支持三元组（即协议、端口和对端地址）过滤。

支持五元组（即源IP地址、目的IP地址、协议、源端口、目的端口）过滤。