云防火墻（原生版）與Web應用防火墻（原生版）有什么區別？

Web應用防火墻（原生版）針對 Web 業務防護，對非 Web 類業務沒有防護能力，且只防護由外對內的攻擊。對業務的惡意主動外聯沒有監測和防護能力。

云防火墻（原生版）包含全部業務防護，支持對 Web 漏洞的基礎防護，同時支持內對外的主動外聯流量檢測。支持失陷主機和惡意外聯的自動攔截。

具體區別對比如下表：

Web應用防火墻建議使用場景：

當用戶部署了對外提供服務的Web應用時，建議用戶購買Web應用防火墻，以便能夠保護所部署Web服務的安全。

云防火墻建議使用場景：

當用戶在天翼云上購買了彈性云主機時，建議購買云防火墻，以便能夠保護用戶云上彈性云主機的安全。

云防火墻有QPS限制么？

云防火墻是SaaS化服務，通過ACL控制策略對用戶的網絡流量訪問進行控制，為云上用戶的網絡提供邊界網絡防護，支持用戶便捷的彈性擴張，區別于傳統防火墻的硬件化部署模式，云防火墻不受硬件性能上限的制約，故對傳統硬件防火墻的并發、新建、QPS等均不限制，只限制防護互聯網邊界訪問的流量峰值。

云防火墻支持其他云的服務器嗎？

不支持，因防火墻設備屬于四層的網絡設備，其防護原理為通過對網絡流量的訪問控制及安全檢測防護對用戶的網絡進行防護，故需要將用戶的網絡流量引流至防火墻設備，才能對對應的流量進行防護。而云防火墻是云原生的云上邊界網絡安全防護產品，主要用于云上網絡的邊界安全防護，通過云內網絡路由及引流，將云內網絡流量引流至云上防火墻，從而實現對云上網絡設備的安全防護，故對于非本云上的服務器以及云下的硬件服務器，由于其網絡流量未流經天翼云，不能對其進行安全防護。

云防火墻的防護策略順序是什么？

云防火墻互聯網邊界防護的防護策略順序為：黑名單規則 > 白名單規則 > 入向規則和出向規則 > 入侵防御規則。

• 黑白名單規則設置方法請參見配置黑白名單規則。

• 入向規則和出向規則設置方法請參見配置入向/出向規則。

• 入侵防御規則設置方法請參見防護配置。

云防火墻和安全組之間有什么區別？

• 安全組：安全組是一種網絡安全防護機制，用于防止未經授權的訪問和保護計算機網絡免受惡意攻擊。它是一種虛擬防火墻，用于限制入向和出向網絡流量通行。安全組工作在網絡層和傳輸層，它通過檢查數據包的源地址、目標地址、協議類型和端口號等信息來決定是否允許通過。安全組創建后，用戶可以在安全組中定義各種訪問規則，當彈性云主機加入該安全組后，即受到這些訪問規則的保護。安全組是用于云主機之間訪問控制的一種安全策略，用戶可以通過設置安全組規則，去控制云服務器的出入向流量。通過配置適當的規則，控制和保護加入安全組的彈性云服務器的訪問。

• 云防火墻：提供統一的互聯網邊界管控與安全防護，并提供業務整體情況可視化、日志審計和分析等功能，完成網絡邊界防護與等保合規需求，主要用于用戶虛擬網絡中的ECS與互聯網之間安全防護，支持外部訪問控制欲主動外聯管控，在進行訪問控制的同時，還支持入侵防御，幫助用戶建立邊界網絡防護基石。