检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
通过配置CFW防护规则实现两个VPC间流量防护 应用场景 VPC之间存在着大量的数据交换需求,CFW提供的VPC间流量防护能够检测和统计VPC间的通信流量数据,帮助您发现异常流量。 本文介绍如何配置云防火墙实现VPC1(172.16.0.0/16)和VPC2(172.18.0.0/
攻击防御功能概述 云防火墙的攻击防御功能支持防护网络攻击和病毒文件,建议您及时将IPS的“防护模式”切换至“拦截模式”。 规格限制 基础版不支持攻击防御功能。 前提条件 已开启至少一项流量防护。 开启EIP流量防护请参见开启互联网边界流量防护。 开启VPC流量防护请参见开启VPC边界流量防护
日志查询 云防火墙支持查询7天内的日志记录,为您提供三类日志: 攻击事件日志:IPS等攻击防御功能检测到的事件记录,出现误拦截时您可以修改防护动作,操作步骤请参见修改入侵防御规则的防护动作,修改病毒防御的防护动作请参见修改病毒防御动作提升防护效果。 访问控制日志:命中访问控制策略的所有流量
如何获取攻击者的真实IP地址? 流量经过反向代理后,源IP被转换为回源IP,此时如果受到外部攻击,CFW无法通过源IP获取到攻击者的真实IP地址,您可通过攻击事件日志中的X-Forwarded-For字段查询真实IP地址。 查看X-Forwarded-For 登录管理控制台。 单击管理控制台左上角的
功能特性 云防火墙提供了“基础版”、“标准版”、“专业版”供您使用,包括访问控制、入侵防御、流量分析以及日志审计等功能。 表1 功能特性 功能项 功能描述 总览 提供防火墙实例基本信息、资源防护总览、统计信息等内容。 资产管理 管理、查看弹性公网IP和VPC的相关数据及信息。 访问控制
查看/下载安全报告 本节介绍如何查看已创建的安全报告及其展示的信息。 查看/下载最新安全报告 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙
将VPC1和VPC-NAT接入企业路由器中 本节指导您如何将VPC1和VPC-NAT接入企业路由器。 将VPC1和VPC-NAT接入企业路由器中 添加VPC连接。 操作步骤请参见企业路由器中添加VPC连接。 连接需要添加两条,“连接资源”分别选择VPC1和VPC-NAT。 创建两个路由表
业务流量异常怎么办? 当您的业务流量异常,可能被CFW中断时,可按照本节内容排查故障。 问题描述 业务流量异常,例如: EIP无法访问公网 无法访问某个服务器 排查思路 图1 业务流量异常排查思路 表1 业务流量异常排查思路 序号 可能原因 处理措施 1 非CFW造成的流量中断 解决方法请参考原因一
获取账号、IAM用户、项目、用户组、区域、委托的名称和ID 获取账号、IAM用户、项目的名称和ID 从控制台获取账号名、账号ID、用户名、用户ID、项目名称、项目ID 在华为云首页右上角,单击“控制台”。 在右上角的用户名中选择“我的凭证”。 图1 进入我的凭证 在“我的凭证”界面
使用API购买并查询CFW 应用场景 对于专业人士而言,使用API的效率高于控制台操作,CFW提供多个功能的API接口,请参见API接口。 本文介绍如何通过API的方式快速购买和查询标准版防火墙实例。 前提条件 当前账号拥有BSS Administrator和CFW FullAccess
配置企业路由器 防火墙创建完成后,您还需关联企业路由器和设置引流。 配置原理 配置企业路由器时需要执行以下流程。 图1 配置企业路由器操作步骤 前提条件 已完成创建防火墙步骤。 约束条件 企业路由器需关闭“默认路由表关联”、“默认路由表传播”和“自动接收共享连接”功能。 仅专业版支持
VPC边界防火墙概述 VPC边界防火墙支持VPC之间通信流量的访问控制,实现内部业务互访活动的可视化与安全防护。 支持的防护对象 虚拟私有云(VPC) 虚拟网关(VGW) VPN网关(VPN) 企业连接网(ECN) 全球接入网关(DGW) 约束条件 仅“专业版”支持VPC边界防火墙
告警通知 设置告警通知后,CFW可将触发的告警信息通过您设置的接收通知方式(例如邮件或短信)发送给您,您可以及时监测防火墙状态,迅速获得异常情况。 CFW支持设置以下告警: 攻击告警:IPS检测到攻击时触发告警。 流量超额预警:当流量达到所采购流量处理能力规格的一定比例时触发告警。
创建VPC边界防火墙 VPC边界防火墙能够检测和统计VPC间的通信流量数据,帮助您发现异常流量。开启VPC边界防火墙之前,您需要先创建VPC边界防火墙并关联企业路由器。 前提条件 当前账号下需存在可用的企业路由器(企业路由器限制)。 关于企业路由器的收费,请参见企业路由器计费说明。
使用CFW跨账号防护EIP资源 应用场景 多个账号的资源防护,例如,企业中不同部门使用不同的账号,但多部门之间需要共用云防火墙的防护策略。 本文介绍如何通过CFW防护多个账号下的EIP资源。 方案介绍 跨账号防护EIP资源的方案为:A账号是组织管理员或委托管理员,将B账号、C账号添加到组织成员
使用CFW防护企业资源 背景信息 华为云提供了企业项目管理(Enterprise Project Management Service,EPS)服务,帮助企业管理云上的人、财、物、权、业务,规范企业在华为云上的操作,满足企业云上IT治理诉求。 用户可以根据组织架构规划企业项目,统一管理分布在不同区域的资源
购买包年/包月云防火墙 包年/包月计费模式是一种预付费方式,按订单的购买周期计费,适用于可预估资源使用周期的场景,价格比按需计费模式更优惠。 云防火墙支持一个区域下购买多个防火墙,便于管理不同场景下的资源和策略。 前提条件 当前账号拥有BSS Administrator和CFW FullAccess
批量迁移安全策略到CFW 应用场景 当业务需要从其他云迁移到华为云,或者安全策略需要从其他防火墙更换到云防火墙时,支持通过批量导入功能,快速添加安全策略。 注意事项 如果业务迁移时组网发生改变,则需要重新改写原有策略中的网络信息(如IP地址)。 为减小迁移对业务的影响,建议将所有规则的
开启NAT网关流量防护 云防火墙通过防护NAT网关所在的VPC,实现对NAT网关流量的防护,并支持对私网IP进行细粒度访问控制,防止内网主机非法外联。 支持防护SNAT和DNAT两种场景。 组网图 SNAT和DNAT的组网图如下: SNAT组网图 DNAT组网图 约束条件 仅“专业版
功能总览 功能总览 全部 云防火墙 弹性公网IP防护 VPC间边界防护 NAT网关防护 访问控制策略 黑/白名单 IP地址组 服务组 域名组 入侵防御策略 病毒防御 日志审计 系统管理 云防火墙 云防火墙(Cloud Firewall,CFW)是新一代的云原生防火墙,提供云上互联网边界和
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
