中国电子云防火墙（Cloud Native Firewall，以下简称 CNFW）是一款基于云上环境的 SaaS 化防火墙，主要为用户提供互联网边界防护，满足云上访问控制的统一管理、日志审计的安全与管理需求。云原生防火墙不仅具备传统防火墙功能，还支持云上多租户、弹性扩容功能，是用户业务上云的第一个网络安全基础设施。

1.精细化访问控制

可统一管理互联网到业务的访问控制策略（南北向）、业务与业务之间的微隔离策略（东西向），提供流量监控、精准访问控制、实时入侵防御等功能，支持全网流量可视和业务间访问关系可视，全面保护您的网络安全。

2.入侵检测与防御

CNFW 内置了威胁检测引擎，可实时阻断和拦截互联网上的恶意流量入侵活动和常规攻击行为，并提供精准的威胁情报检测，智能阻断入侵风险。

3.日志审计

通过 CNFW 的所有流量会在日志审计页面记录下来，包括流量日志、访问控制日志，帮助您实时审计网络流量，并为可疑流量进行相应的处理提供依据。

4.DDoS防御

支持对SYN Flood、UDP Flood、HTTP Flood、NTP Flood及混合类型攻击进行检测、告警和防护。支持首包丢弃、TC反弹等处置。

5.恶意文件检测

支持HTTP协议还原文件病毒查杀（系统内置的IPS引擎可解析HTTP协议，HTTP协议中携带文件，通过IPS引擎还原成文件，然后查杀还原的文件）。

支持压缩文件解压检测。

产品架构图如下所示：

1.云原生架构

原生集成

云原生防火墙与云平台、云原生架构紧密集成，可以直接与云服务提供商的基础设施和服务进行交互，可以无缝与云原生工具、服务和管控平台集成，提供更高效的部署、配置和管理。

弹性扩展

云原生防火墙可以根据云环境的需求进行弹性扩展。它可以根据流量负载和工作负荷的变化自动调整防火墙规则和容量，确保在高峰期和突发事件中仍能提供高性能和可靠的防护。

可伸缩性

云原生防火墙可以根据需要进行水平扩展，以应对不断增长的网络流量和规模。它可以添加和删除防火墙实例，并根据需求动态分配资源，以满足不同规模和容量的云环境要求。

2.高性能

采用虚机到物理机全链路 DPDK 技术，提升云原生防火墙网络吞吐和转发能力。

3.高可用性

采用主备模式高可用架构，平衡性能和高可用性，做到业务“0”断流。

4.高安全

支持规则匹配引擎 + 机器学习 / 深度学习威胁检测引擎，提升未知威胁覆盖率，降低误报率。

规则匹配引擎

全面覆盖4 / 7层攻击场景；同时，规则库支持离线升级。

机器学习 / 深度学习威胁检测引擎

通过使用深度学习算法对样本进行训练，产出模型来检测和识别流量中的风险，不仅提高了防护准确率，而且能应对一些0-day的攻击。

云原生防火墙是用于保护云环境和云应用的网络安全解决方案，它适用于多种场景，包括但不限于以下几个方面：

1.外部入侵防御

通过云原生防火墙，对已开放公网访问的服务资产进行安全盘点，可一键开启入侵检测与防御，防止网络钓鱼、暴力破解、漏洞利用等攻击。

2.主动外联管控

通过云原生防火墙，对云内资源的主动外联行为进行检测与封禁，协助客户判断恶意外连请求，防止数据泄露或被窃取。

3.VPC间互访控制

通过云原生防火墙，对 VPC 间的流量进行访问控制，实现网络隔离和安全分层，防止内部渗透攻击和从内到外的非法访问。

4.等保合规

存储云资产的访问日志，助力网站符合等保合规要求。

目前支持对 EIP 和 VPC 进行防护。

VPC防护不支持跨region的VPC之间防火墙能力。