检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
可以从调API处获取,也可以从控制台获取。项目ID获取方式 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 企业项目ID,用户根据组织规划企业项目,对应的ID为企业项目ID,可通过如何获取企业项目ID获取,用户未开启企业项目时为0 fw_instance_id
可以从调API处获取,也可以从控制台获取。项目ID获取方式 set_id 是 String 地址组id,可通过查询地址组列表接口查询获得,通过返回值中的data.records.set_id(.表示各对象之间层级的区分)获得。 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id
可通过如何获取企业项目ID获取,用户未开启企业项目时为0 fw_instance_id 否 String 防火墙id,可通过防火墙ID获取方式获取 query_address_set_type 否 Integer 查询地址组类型,0表示自定义地址组,1表示预定义地址组 请求参数
可以从调API处获取,也可以从控制台获取。项目ID获取方式 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 企业项目ID,用户根据组织规划企业项目,对应的ID为企业项目ID,可通过如何获取企业项目ID获取,用户未开启企业项目时为0
可以从调API处获取,也可以从控制台获取。项目ID获取方式 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 企业项目ID,用户根据组织规划企业项目,对应的ID为企业项目ID,可通过如何获取企业项目ID获取,用户未开启企业项目时为0 fw_instance_id
fw_instance_id 否 String 防火墙id,可通过防火墙ID获取方式获取 query_address_set_type 否 Integer 查询地址组类型,0表示自定义地址组,1表示预定义地址组,当address_set_type不为0时,query_address_set_type为1时才可以生效。
请求什么类型的操作。 GET:请求服务器返回指定资源。 PUT:请求服务器更新指定资源。 POST:请求服务器新增资源或执行特殊操作。 DELETE:请求服务器删除指定资源,如删除对象等。 HEAD:请求服务器资源头部。 PATCH:请求服务器更新资源的部分内容。当资源不存在的时
String 项目ID, 可以从调API处获取,也可以从控制台获取。项目ID获取方式 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。可通过如何获取用户Token获取。 表3 请求Body参数 参数 是否必选
查看预定义服务组 云防火墙为您提供预定义服务组,包括“常用Web服务”、“常用数据库”和“常用远程登录和ping”,适用于防护Web、数据库和服务器。 预定义服务组仅支持查看,不支持添加、修改、删除操作。 查看预定义服务组 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规
查看预定义地址组 云防火墙为您提供预定义地址组,包括“NAT64转换地址组”和“WAF回源IP地址组”,两个地址组均建议您放行。 NAT64转换地址组:开启弹性公网IP(EIP)服务的IPv6转换功能后,云防火墙接收到对应IPv6流量的源IP地址会被转换为当前地址组中的IP。IPv6转换功能请参见IPv6转换。
防护后的动作 配置方式 防护规则 五元组 IP地址组 地理位置(地域) 域名和域名组 公网IP 私网IP 设置为“阻断”:流量直接拦截。 设置为“放行”:流量被“防护规则”功能放行后,再经过入侵防御(IPS) 功能检测。 通过添加防护规则拦截/放行流量 黑名单 五元组 IP地址组 直接拦截流量。
网络抓包 收集的个人数据项 IP地址 抓包文件 收集的来源和方式 防火墙通过防护的流量识别出的源IP地址和目的IP地址 在防火墙控制台上使用抓包功能 使用目的以及安全保护措施 向用户展示防火墙识别出的流量明细。 数据通过http上传到告警管理服务器。 明文存储,仅管理员可以访问。
企业项目ID,用户根据组织规划企业项目,对应的ID为企业项目ID,可通过如何获取企业项目ID获取,用户未开启企业项目时为0 fw_instance_id 是 String 防火墙id,可通过防火墙ID获取方式获取 请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token
address_set_type 否 Integer 地址组类型,0表示自定义地址组,1表示WAF回源IP地址组,2表示DDoS回源IP地址组,3表示NAT64转换地址组 name 否 String 关联IP地址组名称,可通过查询地址组列表接口查询获得,通过返回值中的data.records
网络域名组:CFW会在后台获取DNS服务器解析出的IP地址(每15s获取一次),当会话的四元组与网络型域名相关规则匹配、且本次访问解析到的地址在此前保存的结果中(已从DNS服务器解析中获取到IP地址),则命中对应的防护规则。 单个域名最大支持解析1000条IP地址;每个域名组最大支持解
strings IP地址列表,当type为5(多对象)时不能为空。 address_set_type 否 Integer 地址组类型,当type为1(关联IP地址组)时不能为空。0表示自定义地址组,1表示WAF回源IP地址组,2表示DDoS回源IP地址组,3表示NAT64转换地址组 predefined_group
应用场景 海外IP地址往往是黑客和恶意攻击者的来源,如果您希望限制所有海外地区的IP地址访问云资源,您可以通过配置互联网边界防护规则,设置目的类型为地域的方式实现防护。 本文介绍如何通过CFW对云资源进行精细化管控,实现拦截海外地区的访问流量。 防护原理 CFW通过IP地址的归属地信息
系统策略授权企业项目后,为什么部分权限会失效? CFW部分功能依赖于弹性云服务器(Elastic Cloud Server, ECS)、虚拟私有云(Virtual Private Cloud, VPC)等云服务,因这些云服务中部分功能不支持企业项目,将“CFW FullAccess”
表2 入云流量可视化统计参数说明 参数名称 参数说明 TOP访问源IP 入方向流量的源IP地址。 TOP访问来源地区 入方向流量的源IP所属的地理位置, TOP访问目的IP 入方向流量的目的IP地址。 TOP开放端口 入方向流量的目的端口。 应用分布 入方向流量的应用信息。 IP分析:查看指定时间段内
分配云墙关联子网,将云防火墙流量转发到企业路由器,选择时需注意以下限制: 创建防火墙后不支持修改网段。 该网段需满足以下条件: 仅支持私网地址段(即在10.0.0.0/8、172.16.0.0/12、192.168.0.0/16范围中),否则可能在SNAT等访问公网的场景下产生路由冲突,
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
