文档首页/ 云防火墙 CFW/ 常见问题/ 产品咨询/ 云防火墙和安全组、网络ACL的访问控制有什么区别?
更新时间:2024-07-05 GMT+08:00
分享

云防火墙和安全组、网络ACL的访问控制有什么区别?

云防火墙、安全组、网络ACL都可以实现通过IP地址/IP地址组设置访问控制策略,为您的互联网边界和VPC边界、弹性云服务器、子网提供防护。

云防火墙和安全组、网络ACL的主要区别如表1所示。

表1 云防火墙和安全组、网络ACL访问控制的主要区别

类别

云防火墙

安全组

网络ACL

定义

云防火墙(Cloud Firewall,CFW)是新一代的云原生防火墙,提供云上互联网边界和VPC边界的防护,包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等,同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求,极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。

安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当实例加入该安全组后,即受到这些访问规则的保护。

有关安全组的详细介绍,请参见安全组和安全组规则

网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的网络流量。

有关网络ACL的详细介绍,请参见网络ACL

防护场景

  • 互联网边界
  • VPC边界
  • SNAT场景

弹性云服务器

子网

功能特性

  • 支持五元组(即源IP地址、目的IP地址、协议、源端口、目的端口)过滤。
  • 支持通过地理位置、域名、域名组、黑/白名单过滤。
  • 支持入侵防御系统(IPS)、病毒防御(AV)功能。

支持三元组(即协议、端口和对端地址)过滤。

支持五元组(即源IP地址、目的IP地址、协议、源端口、目的端口)过滤。

相关文档