Um firewall de nuvem é basicamente um sistema que filtra o tráfego de entrada (e possível de saída) para você, como faria um firewall local.
Todo o seu tráfego público precisa passar pelo provedor de firewalls na nuvem. Então você tem que negar todo o tráfego em seu firewall local que não passa pelo "firewall da nuvem" (caso contrário, o invasor está ignorando a configuração do firewall).