云防火墙(Cloud Firewall)和 WAF(Web Application Firewall)都属于网络安全产品,但防护层级和保护对象不同,经常作为互补方案同时部署。
一、云防火墙(Cloud Firewall)
定义 云防火墙是部署在云上的网络边界安全产品,相当于传统硬件防火墙的云化形态,用于保护云环境整体的网络流量。
主要功能
- 网络访问控制(ACL / 安全组增强)
- 状态检测、防入侵(IDS/IPS)
- DDoS 防护(部分集成)
- NAT、VPN 管理
- 跨 VPC 的东西向流量可视化与控制
- 出入口(南北向)及内网(东西向)防护
保护对象
- 云服务器实例(ECS)
- 子网/VPC 整体网络
- 非 Web 应用(数据库、SSH、FTP 等)
典型协议 TCP/IP、UDP(L3/L4 层)
二、WAF(Web 应用防火墙)
定义 WAF 专注于保护 Web 应用(网站、API 接口),针对 HTTP/HTTPS 流量中的攻击进行检测与拦截。
主要功能
- 拦截 SQL 注入、XSS、命令执行等 Web 攻击
- 防页面篡改、敏感信息泄露
- BOT 管理、CC 攻击防护
- API 安全(限流、认证、签名校验)
- Web 访问日志分析、恶意请求识别
保护对象
- 网站和 Web 应用服务
- API 接口
典型协议 HTTP/HTTPS(L7 层)
三、核心区别
| 维度 | 云防火墙 | WAF |
|---|---|---|
| 防护层级 | 网络层(L3/L4) | 应用层(L7) |
| 保护对象 | 云服务器、数据库、网络边界 | 网站、Web 服务、API |
| 防御能力 | IP、端口控制,DDoS、防入侵 | SQL 注入、XSS、Web 攻击 |
| 部署位置 | VPC 边界、出口网关 | 网站前端、CDN 前、反向代理层 |
| 流量类型 | 全部网络流量 | HTTP/HTTPS 流量 |