VPC防火墙
防火墙:负责管控VPC网络的南北向流量,通过配置规则集和规则来管控网络的访问控制策略,可有效保护整个VPC的通信安全以及VPC路由器安全。
VPC路由器的每个网卡流量方向上均可绑定规则和规则集
- 入方向:作用于通过网络进入VPC路由器的流量。
- 出方向:作用于从VPC路由器通过网络向外发出的流量。
防火墙规则集:规则集是规则的集合,包含了一组规则,需要绑定到VPC路由器网卡的某个方向上才能生效。
防火墙规则:
- 防火墙规则支持自定义优先级,数字越小表示优先级越高,支持的优先级范围:1001-2999。
- 防火墙规则支持对数据来源和去向进行限制:
- 源IP和目的IP支持输入固定IP地址、IP范围或CIDR,支持混合输入。
- 若输入多个IP地址,且包含一个或多个CIDR格式,则CIDR格式仅支持/24掩码范围,若仅输入一个CIDR则不限制掩码范围。
- 支持最多添加10条,以英文逗号分隔。
规则模板:将一组规则保存为模板,向防火墙或规则集添加规则时可直接选用该模板。
IP/端口集合:将一组IP或端口进行保存,在向防火墙或规则集添加规则时可直接选用已建好的IP/端口集合。
防火墙与安全组的区别:防火墙管控南北向流量,作用范围是整个VPC,与作用于云主机虚拟网卡、侧重于保护VPC内部东西向通信安全的安全组相辅相成,二者互为补充,具体区别如下:
| 对比项 | 安全组 | 防火墙 |
|---|---|---|
| 作用范围 | 云主机虚拟网卡 | 整个VPC网络 |
| 部署方式 | 分布式 | 集中式 |
| 部署位置 | 云主机 | VPC路由器 |
| 配置策略 | 仅支持允许策略 | 可自定义允许、丢弃或拒绝策略 |
| 优先级 | 按照配置顺序 | 自定义优先级顺序 |
| 规则匹配 | 源IP、源端口、协议 | 源IP、源端口、目的IP、目的端口、协议、报文状态 |