腾讯云防火墙（CFW）产品概要

一、产品定位与核心亮点

腾讯云防火墙（Cloud Firewall, CFW）是一款为公有云租户提供的SaaS化网络安全产品，无需硬件或镜像资源安装部署，主要优势包括性能弹性扩展与功能持续升级。其核心定位是为用户所有网络边界（包括互联网、NAT、VPC间、专线/VPN等）提供访问控制、身份认证、入侵防御（含威胁情报）等一体化流量管控能力，并集成漏洞扫描、网络蜜罐、日志审计等功能。主要售卖场景是等保合规、重保保障和安全运维。

二、产品应用场景

三、应用框架和功能介绍

功能框架

产品采用“接-管-防-控”能力体系：

• 接（接入）：覆盖所有流量边界与场景，提供更稳定、简便的接入方案
• 管（知己）：管理资产与暴露面、地址与资源组、身份与权限，提供处置建议与日志审计
• 防（知彼）：已知/未知来源与手法的攻击识别与检测
• 控（可控）：基于IP/域名、身份ID、域/资源组、地理位置/行为的控制

硬核指标

• 协议支持：TCP、UDP、HTTP、HTTPS等
• 防护能力：最大支持100Gbps公网流量防护
• 入侵防御规则库：约350条虚拟补丁规则（TCP协议50+条，HTTP协议300+条）
• 高可用性：99.95%服务可用性，支持故障时双机热备与自动Bypass

产品优势

1. 全面流量边界覆盖：支持互联网边界、NAT边界、VPC间/专线/VPN网关、运维/数据库/内网Web、安全组/虚拟网卡流量管控。
2. 核心安全能力：
   • 入侵防御（IPS）：具备基础防御（8类：扫描探测、恶意文件上传、文件包含、Webshell、命令注入、模板注入、XXE、PyPI污染）、失陷检测（8类：挖矿、恶意脚本、Metasploit、Cobaltstrike、Webshell、Python投毒、Muhstik、H2Miner）、虚拟补丁、威胁情报（秒级更新云端恶意IP/域名库）。
   • 访问控制：支持基于IP、域名、身份ID、资源组、地理位置、行为的精细管控。
   • 零信任运维：基于SSH/RDP协议提供微信扫码认证；支持数据库一键公网域名接入与IP白名单管理；支持内网Web服务自有域名接入与动态身份认证。
   • 网络蜜罐：提供多种高中低交互蜜罐，溯源反制攻击者，0误报。
   • 企业安全组：通过五元组配置批量管理安全组，支持通过资产标签、CIDR一键下发，万台资产高效管理。
3. 高级分析能力（NDR）：
   • 流量分析：支持流量镜像（对业务无影响）和终端探针两种模式，解析还原SSH、TLS等15种协议，留存原始报文，最大记录每个报文1000字节。
   • 文件还原：记录明文传输文件的时间、对象，留存文件供排查。
   • 全流量审计：支持公网流量、VPC间流量、VPC内流量记录、原始报文留存、传输文件还原，弥补传统云安全产品缺口。
4. 运维与管理优势：
   • 资产智能管理：自动梳理云上公网/内网资产，支持智能分组。
   • 可视化：提供流量拓扑视图、风险中心、告警中心、流量中心。
   • 日志审计：记录所有访问与流量日志，支持后续溯源取证。

荣誉背书

（原文未提供具体荣誉奖项信息）

四、典型案例

案例1：蔚来汽车（行业：出行）

• 背景：国内业务全部在腾讯云（云服务器6990台，域名821个，IP453个），需记录所有流量日志并对接自建日志平台；需全流量分析且不影响业务性能。
• 解决方案：使用互联网边界防火墙处置20Gbps公网流量；使用NAT边界防火墙创建公网访问白名单。
• 成效：实现了入向攻击防护与出向白名单管控，客户反馈“腾讯云防火墙的使用体验是目前我们接入所有公有云环境厂商体验下来最完善最好用的防火墙”。云防火墙年收入420万。

案例2：搜狐畅游（行业：泛互）

• 背景：云上服务器3000+，域名6000+，公网流量30Gbps。每年约发生两次重大安全事件，核心游戏代码泄露风险高。
• 解决方案：使用流量分析NDR功能对云上主机全部流量进行审计，保留原始报文；解析流量并留存传输文件内容。
• 成效：实现了对泄露事件的快速定位与应急处置，有效保护了核心代码安全。云防火墙年收入120万。

案例3：南网电动（行业：出行）

• 背景：HW期间需封禁海量IP（10万级）；日常需开启严格模式IDPS，处理集团下发的批量攻击IP。
• 解决方案：利用云防火墙海量IP封禁功能。
• 成效：满足了重保期间大规模封禁需求。云防火墙年收入90万。

案例4：微民保险（行业：金融）

• 背景：云服务器1063台，需统一管理安全组策略并对接自建SOC。
• 解决方案：使用企业安全组功能统一管理安全组策略。
• 成效：实现了安全组策略的高效统一纳管。

案例5：小红书（行业：战略）

• 背景：业务多云部署（腾讯云服务器16.4万台，阿里云2万台+），需出站请求监控与多云安全管控。
• 解决方案：使用云防火墙进行出站请求监控与安全管理。
• 成效：实现了对出站流量的有效监控和管理。云防火墙年收入100万。

案例6：某大型在线教育用户（VPN上云场景）

• 背景：通过VPN连接办公网与公有云，办公网安全水位低，失陷后易攻击云上业务。
• 解决方案：接入VPC间防火墙并开启入侵防御拦截模式。
• 成效：自动阻断办公网对云上的扫描、攻击流量。

案例7：某大型游戏公司（混合云场景）

• 背景：多个本地IDC通过专线互联公有云，需隔离部分IDC并防止横向扩散。
• 解决方案：接入VPC间防火墙，设置访问控制规则阻断特定IDC源地址。
• 成效：实现了IDC与云业务的有效隔离。

案例8：某上海头部车企（云上业务隔离）

• 背景：约500台服务器，按地域划分VPC，需实现不同环境间微隔离（仅允许跳板机访问）。
• 解决方案：使用资产中心分组标记，创建企业安全组规则。
• 成效：通过80条企业安全组下发超3万条服务器安全组，3天内完成配置，实现高效微隔离。

案例9：某头部保险公司（安全组收敛）

• 背景：约1100台服务器，需收敛入向访问仅允许来自负载均衡的流量。
• 解决方案：使用企业安全组批量管理，通过五元组方式创建3000条规则，下发为5000条服务器安全组。
• 成效：兼容历史安全组，高效完成访问收敛，并持续迭代维护。

数据来源： 腾讯云安全产品介绍文档及客户案例集。