检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
设置黑/白名单请参见管理黑/白名单。 添加防护规则请参见添加防护规则。 设置IPS防护模式请参见配置入侵防御策略,自定义IPS规则请参见自定义IPS特征。 开启病毒防御请参见开启病毒防御。 父主题: 产品咨询
environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"]
environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"]
通过CFW拦截海外地区的访问流量 购买云防火墙标准版或专业版,请参见购买云防火墙。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 对需要防护的EIP开启防护。 在左侧导航栏中,选择“资产管理
通过CFW放行互联网对指定端口的访问流量 购买云防火墙标准版或专业版,请参见购买云防火墙。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 对需要防护的EIP(xx.xx.xx.1)开启防护。 在左侧导航栏中,选择“资产管理
应用场景 外部入侵防御 通过云防火墙,对已开放公网访问的服务资产进行安全盘点,可一键开启入侵检测与防御。 主动外联管控 云防火墙支持基于域名的访问控制,可对主动外联行为进行管控。 VPC间互访控制(专业版支持) 云防火墙支持VPC间流量的访问控制,实现内部业务互访活动的可视化与安全防护。
查看审计日志 开启了云审计服务后,系统开始记录CFW资源的操作。云审计服务管理控制台保存最近7天的操作记录。 查看审计日志的详细操作请参见查看审计事件。 父主题: 使用CTS审计CFW操作事件
业务的变化和扩张需求,极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 提供基础版、标准版和专业版三个版本,其中基础版仅“西南-贵阳一”支持,其余版本支持的区域见下方“支持区域”。 提供包周期和按需计费两种计费方式。包周期支持的区域见下方“
version Integer 防火墙版本,0:标准版,1:专业版,3:基础版,购买时,当防火墙“charge_mode”为“postPaid”时,仅支持专业版。“charge_mode”为“prePaid”时,支持标准版、专业版。 eip_count Integer eip数量 vpc_count
通过CFW放行云内资源对指定域名的访问流量 购买云防火墙标准版或专业版,请参见购买云防火墙。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 对需要防护的EIP开启防护。 在左侧导航栏中,选择“资产管理
云防火墙通过对弹性公网IP的防护实现互联网边界流量的防护。 与虚拟私有云的关系 虚拟私有云(Virtual Private Cloud,VPC)是您在云上的私有网络,为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。 云防火墙支持防护VPC边界的流量,例如VPC与VPC之间、云上VPC与云下IDC之间。
environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"]
防火墙支持通过“日志查询”查看并导出最近7天的日志数据,请参见日志查询。 LTS按流量单独计费。有关LTS的计费详情,请参见LTS价格详情。 规格限制 基础版不支持查看日志。 配置日志 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。
购买云防火墙 开启EIP防护 开启1个或多个弹性公网IP(EIP)的防护。 云防火墙通过对EIP的防护实现互联网边界流量的防护。 开启EIP防护 配置防护策略 云防火墙默认放行所有流量,您需要配置防护策略实现流量防护。 提供以下防护策略: 防护规则:按照IP地址、IP地址组、地域、域名等维度设置特定的规则管控流量。
确认信息无误后,在“异常外联告警”所在行的“生效状态”列,单击 ,开启异常外联通知。 相关操作 EIP未开启防护白名单:在目标所在行的“操作”列,单击“添加告警白名单”,勾选EIP添加至右侧列表中,单击“确认”,该EIP未开启防护时,将不会发送告警通知。 父主题: 系统管理
组”,两个地址组均建议您放行。 NAT64转换地址组:开启弹性公网IP(EIP)服务的IPv6转换功能后,云防火墙接收到对应IPv6流量的源IP地址会被转换为当前地址组中的IP。IPv6转换功能请参见IPv6转换。 如果您开启了弹性公网IP(EIP)服务的IPv6转换功能,建议放行“NAT64转换地址组”。
不受IPS“防护模式”的影响。 如果规则库中的防御规则不能满足您的需求,您可自定义IPS特征规则,请参见自定义IPS特征。 规格限制 基础版不支持攻击防御功能。 约束条件 修改IPS规则存在以下限制: “防护模式”发生变化时,手动修改的规则“当前动作”保持不变。 当前动作修改条数限制如下。
通过添加黑白名单拦截/放行流量 白名单 流量被云防火墙放行,不再经过其它功能检测。 规格限制 VPC边界防护和NAT流量防护,需满足专业版防火墙且开启VPC边界防火墙防护。 配置阻断策略时注意事项 配置阻断IP的防护规则或黑名单时需注意以下几点: 建议优先配置精准的IP(如192.168
添加IP地址组请参见添加自定义IP地址组和IP地址。 添加防护规则请参见通过添加防护规则拦截/放行流量。 私网IP防护,需满足专业版防火墙且开启VPC边界防火墙防护。 系统影响 将IP或IP地址段配置为黑名单/白名单后,来自该IP或IP地址段的访问,CFW将不会做任何检测,直接
0.0/16 下一跳类型:企业路由器 步骤三:开启VPC防护并验证流量正常通信 在左侧导航栏中,选择“资产管理 > VPC边界防火墙管理”,进入“VPC边界防火墙管理”页面。 在“防火墙状态”侧,单击“开启防护”。 单击“确认”,完成开启VPC边界防火墙。 生成流量,请参见验证网络互通情况。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
