云防火墙和安全组有什么差异?云防火墙是互联网边界防火墙、VPC边界防火墙、主机边界防火墙的统称,为您提供互联网边界、VPC网络边界、ECS实例间的三重防护。安全组是ECS提供的虚拟主机防火墙,对ECS实例间的流量进行访问控制。
云防火墙的主机边界防火墙底层使用了安全组的能力。您既可以在云防火墙控制台访问控制 > 主机边界防火墙处配置策略,也可以在ECS控制台安全组页面配置策略,两者配置自动保持同步。
云防火墙相对安全组的独有功能
支持应用级别的访问控制。例如:可以管控HTTP协议流量,其HTTP服务可以运行在任意端口。
支持域名级别的访问控制。例如:可以配置只允许所有ECS到*.aliyun.com的请求。
支持地址簿,可以将一组IP地址、端口或者具有相同标签的ECS配置为一个地址簿,便于您对多个地址进行统一管控。
提供入侵防御功能,支持对常见的系统漏洞和暴力破解进行防护。
访问控制策略支持观察模式。
提供完整的流量日志,并支持对流量进行实时分析。
云防火墙相对安全组的增强功能
云防火墙相对安全组提供了一些增强功能:
策略组在未设置放行策略的情况下,该策略组中的ECS实例之间无法互通。
支持多条策略批量发布。
同应用组配合,将应用组创建的策略自动同步到主机边界防火墙。
通过提供不限数量的VPC边界访问控制策略(提工单可申请扩展),减少配置不必要的主机防火墙策略(即ECS安全组规则),可以有效解决ECS安全组规则存在数量上限并且无法调整的问题。