检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
创建VPC边界防火墙 VPC边界防火墙能够检测和统计VPC间的通信流量数据,帮助您发现异常流量。开启VPC边界防火墙之前,您需要先创建VPC边界防火墙。 前提条件 已有企业路由器。 创建VPC边界防火墙需使用您防护VPC配额中的一个VPC作为Inspection VPC用于引流,所以当前账号需存在一个无流量且未规划子网的
开启/关闭VPC间边界防火墙 配置完成后,防火墙默认为“未开启”状态,此时流量只经过企业路由器,未转发到防火墙。您可选择手动开启或关闭VPC间防火墙功能。 前提条件 已购买CFW专业版。 已配置企业路由器。 约束条件 仅专业版支持VPC间防火墙防护功能。 操作步骤 登录管理控制台。
错误码 当您调用API时,如果遇到“APIGW”开头的错误码,请参见API网关错误码进行处理。 模块 状态码 错误码 错误信息 描述 处理措施 公共模块 400 CFW.00109004 HTTP请求错误 HTTP请求错误 请稍后重试或联系技术支持 400 CFW.00300001
配置企业路由器并将流量引至云防火墙 本文指导您通过企业路由器将流量引至云防火墙,并验证网络的连通性。 前提条件 已创建VPC边界防火墙,具体操作请参见创建VPC边界防火墙。 流量互通,确定流量未经过防火墙时正常通信。流量验证请参见验证网络互通情况。 配置原理和流程 配置企业路由器时的流量走势如图
方法一:在“载荷内容”中查看X-Forwarded-For(从客户端到最后一个代理服务器的所有地址IP)。
开启VPC边界防火墙并确认流量经过云防火墙 配置完成后,防火墙默认为“未开启”状态,此时流量只经过企业路由器,未转发到防火墙。您可选择手动开启VPC间防火墙功能。 开启VPC边界防火墙 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规
拦截网络攻击 云防火墙提供网络攻击防护,帮助您检测常见的网络攻击。 规格限制 基础版不支持攻击防御功能。 调整IPS防护模式拦截网络攻击 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。
入门指引 云防火墙(Cloud Firewall,CFW)为云上业务提供互联网边界、VPC边界、NAT网关的流量防护。 本文为您介绍防护不同场景的配置流程。 互联网边界流量防护 操作步骤 说明 相关文档 购买云防火墙 购买1个云防火墙实例,防护区域需和云资源所在区域一致。 购买云防火墙
云防火墙支持哪些维度的访问控制? 云防火墙当前支持基于五元组、IP地址组、服务组、域名、应用、黑名单、白名单设置ACL访问控制策略;也支持基于IPS(intrusion prevention system,入侵防御系统)设置访问控制。IPS支持观察模式和阻断模式,当您选择阻断模式时
charge_mode Integer 计费模式 0:包年/包月 1:按需 service_type Integer 防火墙防护类型,目前仅支持0,互联网防护 engine_type Integer 引擎类型,0:自研引擎 1:山石引擎 3:天融信引擎 flavor Flavor
示例四:配置SNAT的防护规则 本文提供SNAT防护的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 SNAT防护配置 假如您的私网IP为“10.1.1.2”, 通过NAT网关访问的外部域名为“www.example.com”,您可以参照以下参数配置NAT防护,其余参数可根据您的部署进行填写
创建东西向防火墙 功能介绍 创建东西向防火墙 调用方法 请参见如何调用API。
IPS拦截了正常业务如何处理? 如果确认拦截的为正常业务流量,您可按照以下两种方式处理: 查询拦截该业务流量的规则ID,并在IPS规则库中修改对应规则的防护动作,操作步骤请参见查询命中规则及修改防护动作。 降低IPS防护模式的拦截程度,IPS防护模式说明请参见配置入侵防御策略。 查询命中规则及修改防护动作
修改入侵防御规则的防护动作 基础防御规则库和虚拟补丁规则库中的规则,支持手动修改防护动作,修改后,该规则不受IPS“防护模式”的影响。 如果规则库中的防御规则不能满足您的需求,您可自定义IPS特征规则,请参见自定义IPS特征。 规格限制 基础版不支持攻击防御功能。 约束条件 修改IPS
提交工单 如果上述方法均不能解决您的疑问,请提交工单寻求更多帮助。 父主题: 故障排查
SNAT防护概述 背景信息 云防火墙标准版实现公网IP之间的防护,例如通过NAT网关实现多个VPC/子网使用公网IP对外发起访问的场景,云防火墙专业版提供更细粒度的访问控制,例如使用私网IP对公网发起访问的场景。 本文介绍如何配置云防火墙专业版实现SNAT场景下私网IP对公网发起访问的防护
约束与限制 本文介绍云防火墙CFW服务在使用过程中的约束和限制。 CFW使用限制 仅支持对部署在华为云的业务提供防护,不支持跨云使用。 支持弹性公网IP EIP的流量防护,不支持全域公网带宽GEIP、API网关APIG绑定的EIP的流量防护。 购买的云防火墙只能在当前选择的区域使用
云防火墙的防护顺序是什么? 云防火墙匹配防护规则的优先级由高到低为:白名单 -> 黑名单 -> 防护策略(ACL)-> 基础防御(IPS)= 病毒防御(AV)。 图1 防护顺序 设置黑/白名单请参见管理黑/白名单。 添加防护规则请参见添加防护规则。 设置IPS防护模式请参见配置入侵防御策略
通过配置CFW防护规则实现SNAT流量防护 SNAT防护概述 资源和成本规划 将VPC1和VPC-NAT接入企业路由器中 配置NAT网关 配置VPC1路由表 配置NAT防护规则
请求方法 HTTP请求方法(也称为操作或动词),它告诉服务你正在请求什么类型的操作。 GET:请求服务器返回指定资源。 PUT:请求服务器更新指定资源。 POST:请求服务器新增资源或执行特殊操作。 DELETE:请求服务器删除指定资源,如删除对象等。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
