與統一身份認證服務的關系

統一身份認證服務（Identity and Access Management，簡稱IAM）為云防火墻服務提供了權限管理的功能。用戶在天翼云注冊后自動創建主用戶，該用戶對其所擁有的資源具有完全的訪問權限，擁有重置用戶密碼、分配用戶等權限。用戶可以通過為子用戶配置不同的角色分配訪問云防火墻（原生版）不同的權限。云防火墻（原生版）角色包含admin角色和viewer角色，其中admin角色擁有全局權限，可以使用云防火墻（原生版）的全部功能。viewer角色只擁有可讀權限，只能查看云防火墻（原生版）相關數據，不能進行配置操作。

與Web應用防火墻（原生版）的區別

Web應用防火墻（原生版）針對Web業務防護，主要應用于對七層應用流量進行防護，其防護對象為域名相關的網站，主要防護Web攻擊，通常在用戶部署公網Web業務時，需要開啟Web應用防火墻對網站進行防護，對非Web類業務沒有防護能力，且只防護由外對內的攻擊，對業務的惡意主動外聯沒有監測和防護能力。

云防火墻（原生版）包含全部業務防護，主要應用于對四層網絡流量的防護和訪問控制，其防護對象為用戶的IP，支持對Web漏洞的基礎防護以及其他網絡層的攻擊行為，同時還支持內對外的主動外聯流量檢測。支持失陷主機和惡意外聯的自動攔截。通常在用戶開通互聯網訪問時需要部署，是網絡訪問基礎的防護設備。

具體區別對比如下表：

類別
云防火墻（原生版）
Web應用防火墻（原生版）
產品定義
云防火墻（原生版）（CT-CFW，Cloud Firewall）是一款云原生的云上邊界網絡安全防護產品，可提供統一的互聯網邊界管控與安全防護，并提供業務整體情況可視化、日志審計和分析等功能，幫助您完成網絡邊界防護與等保合規。
Web應用防火墻（原生版）（CT-WAF，Web Application Firewall）為用戶Web應用提供一站式安全防護，對Web業務流量進行智能全方位檢測，有效識別惡意請求特征并防御，避免源站服務器被惡意入侵，保護網站核心業務安全和數據安全。
防護對象
IP（彈性公網IP、內網IP等）
域名
網絡層級
四層
七層
應用場景
邊界網絡防護
Web業務安全防護
核心技術
ACL訪問控制、DPI深度包檢測、IPS入侵檢測技術
HTTP協議解析、Web攻擊檢測
安全能力
支持外部訪問控制和主動外聯管控，能夠檢測攻擊者對用戶網絡發起的攻擊，同時也能對用戶網絡主動外聯行為進行分析，阻斷由內而外的惡意連接行為，保護用戶的資產安全。
集成機器學習檢測引擎，支持專家經驗特征與語義特征，有效檢測SQL 注入、XSS等基于形式語言的攻擊類型，對OWASP常見攻擊類型進行了良好覆蓋。

Web應用防火墻建議使用場景：

當用戶部署了對外提供服務的Web應用時，建議用戶購買Web應用防火墻，以便能夠保護所部署Web服務的安全。

注意
無論所部署的Web服務是否位于天翼云上，都可以購買天翼云Web應用防火墻（原生版）對用戶的Web服務提供防護，天翼云Web應用防火墻（原生版）提供全球級服務，能夠為用戶任意位置的Web服務提供全面的Web安全保護。

云防火墻建議使用場景：

當用戶在天翼云上購買了彈性云主機時，建議購買云防火墻，以便能夠保護用戶云上彈性云主機的安全。

注意
天翼云云防火墻僅能保護部署在天翼云內的彈性云主機網絡安全，對于在其他位置的主機和網絡設備，因其網絡流量未流經天翼云，故天翼云云防火墻無法保護其網絡安全。

與VPC的關系

VPC是基于天翼云創建的自定義私有網絡，為彈性云主機提供一個邏輯上完全隔離的專有網絡，您還可以在VPC中定義安全組、IP地址段、帶寬等網絡特性。用戶可以通過VPC方便地管理、配置內部網絡，進行安全、快捷的網絡變更，詳細內容請參見虛擬私有云。云防火墻目前僅支持VPC內綁定云主機資產的IP南北向的防護，并且需要您在同一個VPC內創建一個子網掩碼不大于28的子網網段，用于云防火墻的部署，并確保該子網中不進行任何業務配置，只用于云防火墻的部署。

與彈性IP的關系

彈性IP（Elastic IP，EIP）是可以獨立申請的公網IP地址，包括公網IP地址與公網出口帶寬服務。可以與云主機、物理機、負載均衡、NAT網關等云產品動態綁定和解綁，實現云資源的互聯網訪問，詳情請參見彈性IP。云防火墻會自動同步用戶賬號下的彈性IP資產，并顯示其防護狀態。用戶可自主決策是否對彈性IP開啟安全防護，首次購買后，您會自動進入防火墻控制臺頁面，同時防火墻自動為您同步資產，同步完成后，公網IP默認處于關閉防護狀態，需要您手動“開啟防護”，并去配置相關的規則。公網IP統計了您已開啟和未開啟防護的公網IP，對應防火墻狀態中的“已防護”和“未防護”狀態，未防護的統計所有綁定資產類型對應的公網IP。可用授權展示已經購買的云防火墻配額數，每個配額可防護一個VPC，您可以為該VPC中的所有IP開啟防護。云防火墻（CFW）與EIP關系如下圖：