检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
监控安全风险 CFW已对接云监控服务(Cloud Eye,CES)。该服务是华为云为用户提供一个针对各种云上资源的立体化监控平台,用户通过云监控服务可以全面了解云上的资源使用情况、业务的运行状况,并及时收到异常告警做出反应,保证业务顺畅运行。 用户使用CES并创建监控指标后,用户
使用前必读 云防火墙(Cloud Firewall,CFW)是新一代的云原生防火墙,提供云上互联网边界和VPC边界的防护,包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等,同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张
版本差异说明 功能 基础版(新)① 标准版 专业版(包周期) 专业版(按需) 防护对象 IPv4 √ √ √ √ IPv6 × × × × 防护规格 防护的公网IP(EIP)数量 20个(不可扩容) 20个(可扩容,最大扩容至2000个) 50个(可扩容,最大扩容至2000个) 1000个(上限)
environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"]
VPC间访问展示当前防火墙实例防护的VPC间流量数据。 前提条件 配置并开启VPC边界流量防护,且已有流量经过VPC,开启VPC防护的操作步骤请参见开启VPC边界流量防护。 规格限制 基础版不支持流量分析功能。 查看VPC间访问流量 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规
操作步骤 说明 准备工作 注册华为账号、开通华为云,为账户充值、赋予CFW权限。 步骤一:购买标准版云防火墙 购买CFW,选择防护的区域、版本规格(本文以标准版为例)等信息。 步骤二:开启EIP的防护 在CFW上对需要防护的EIP开启防护,使流量经过防火墙。 步骤三:将入侵防御模式设置为观察模式
通过安全看板查看攻击防御信息 您可通过安全看板快速查看攻击防御功能(IPS、反弹Shell、敏感目录扫描、病毒防御)的防护信息,及时调整IPS防护。 规格限制 基础版不支持攻击防御功能。 通过安全看板查看IPS防护信息 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规
修改后,该规则不受IPS“防护模式”的影响。 如果规则库中的防御规则不能满足您的需求,您可自定义IPS特征规则,请参见自定义IPS特征。 规格限制 基础版不支持攻击防御功能。 约束条件 修改IPS规则存在以下限制: “防护模式”发生变化时,手动修改的规则“当前动作”保持不变。 当前动作修改条数限制如下。
通过添加防护规则拦截/放行流量 黑名单 五元组 IP地址组 直接拦截流量。 通过添加黑白名单拦截/放行流量 白名单 流量被云防火墙放行,不再经过其它功能检测。 规格限制 VPC边界防护和NAT流量防护,需满足专业版防火墙且开启VPC边界防火墙防护。 配置阻断策略时注意事项 配置阻断IP的防护规则或黑名单时需注意以下几点:
(云墙关联子网-2) xx.xx.3.0/24 单击“确认”,需等待3-5分钟,完成防火墙创建。 创建过程中您只能浏览“概览”页,防火墙的“状态”会变为“升级中”。 父主题: 企业路由器模式(旧版)
接结束后才会上报。 前提条件 开启弹性公网IP(EIP)防护且已有流量经过EIP,开启EIP防护的操作步骤请参见开启互联网边界流量防护。 规格限制 基础版不支持流量分析功能。 查看入云流量 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规
主机外联行为。 企业路由器 企业路由器(Enterprise Router, ER)可以连接VPC或本地网络来构建中心辐射型组网,是云上大规格,高带宽,高性能的集中路由器。 云墙关联子网 云墙关联子网是VPC边界防火墙中的参数。用户配置网段后,云防火墙自动分配“云墙关联子网”,用于将防火墙方向的流量转发到企业路由器。
接结束后才会上报。 前提条件 开启弹性公网IP(EIP)防护且已有流量经过EIP,开启EIP防护的操作步骤请参见开启互联网边界流量防护。 规格限制 基础版不支持流量分析功能。 “私网外联资产”数据查看需满足专业版防火墙且开启VPC边界防火墙防护,请参见VPC边界防火墙。 查看出云流量
操作步骤 说明 准备工作 注册华为账号、开通华为云,为账户充值、赋予CFW权限。 步骤一:购买标准版云防火墙 购买CFW,选择防护的区域、版本规格(本文以标准版为例)等信息。 步骤二:开启指定EIP的防护 在CFW上对需要防护的EIP开启防护,使流量经过防火墙。 步骤三:添加防护规则——阻断所有入方向流量
图2 创建VPC边界防火墙(旧版) 单击“确认”,需等待3-5分钟,完成防火墙创建。 创建过程中您只能浏览“概览”页,防火墙的“状态”会变为“升级中”。 相关操作 关闭防火墙:防火墙创建后不支持删除和退订,您可以关闭防火墙的防护请参见关闭VPC边界防护,如果业务后续不再需要VPC边界
配置黑名单规则,否则可能会影响您的业务。 回源IP的相关信息请参见什么是回源IP?。 配置防护规则请参见通过添加防护规则拦截/放行流量。 规格限制 云防火墙最多支持配置2000条黑名单和2000条白名单,当您黑名单IP或白名单IP超出限制时,可通过添加IP地址组,并在防护规则中引用的方式实现拦截/放行效果。
data.records.protect_objects.object_id(.表示各对象之间层级的区分)获得,注意type为0的为互联网边界防护对象id,type为1的为VPC边界防护对象id。此处仅取type为1的防护对象id,可通过data.records.protect_objects
拦截网络攻击 云防火墙提供网络攻击防护,帮助您检测常见的网络攻击。 规格限制 基础版不支持攻击防御功能。 对业务的影响 调整防护模式时,建议您优先开启“观察模式”,等待业务运行一段时间排查误拦截后,再逐步更换至“拦截模式”。 调整IPS防护模式拦截网络攻击 登录管理控制台。 单击管理控制台左上角的,选择区域。
Action中写入授权项,可以实现授权项对应的权限功能。 权限 授权项 创建云防火墙 cfw:instance:create 扩容云防火墙规格 cfw:instance:alterSpec 删除云防火墙 cfw:instance:delete 查询云防火墙 cfw:instance:get
填写关键参数如下,其余参数按需填写: Region:选择云资产所在的区域。 project_id:项目ID,自动获取。 flavor:填写规格信息。 version:防火墙版本,本文购买标准版,选择“Standard”, 各版本之间的差异请参见服务版本差异。 charge_info:填写计费类型信息。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
