对于入方向流量
云防火墙和 WAF 共同组成了云上网络安全的整体边界防护,WAF 更偏向于对加密的 HTTPS 流量进行防护,非加密流量通过云防火墙集成的威胁情报、 入侵防御系统(IPS)的基础规则和虚拟补丁等进行安全防护。
流量经过 SaaS 化 WAF 后,会经过互联网边界防火墙(串行模式),再进入对应的 VPC。
使用 CLB 类型 WAF 时,流量先经过互联网边界防火墙(旁路模式),再经过 CLB WAF。
使用腾讯云 CDN 回源到 CLB、CVM 的流量,需要使用互联网边界防火墙(串行模式)防护。
对于出方向流量
可以通过 NAT 边界 FW(防火墙),实现基于云服务器(CVM)颗粒度的主动外联控制,并且支持基于域名的访问控制,结合腾讯威胁情报,可对主动外联的恶意 IP 及域名进行自动拦截。
如未开启 NAT 边界 FW,则只能在互联网边界 FW,对 NAT gateway 后的流量进行访问控制,此时云防火墙看到的是公网 IP。
注意:
如果您云上资产只对外暴露了 Web 类业务,且已经被 WAF 防护,建议使用云防火墙-NAT边界防火墙,开启主动外联的防护,形成入向的 WAF 防护,出向的云防火墙防护的整体网络安全防护方案。
