检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
cfw:ipsMode:get 创建抓包任务 cfw:captureTask:create 查询抓包任务列表 cfw:captureTask:list 批量删除抓包任务 cfw:captureTask:delete 停止抓包任务 cfw:captureTask:stop 下载抓包结果 cfw:captureTask:getResult
S开关、查询防护模式等操作。 日志管理 管理日志接口,包括查询访问控制日志、查询攻击事件日志、查询流量日志等接口。 抓包管理 管理抓包任务,包括创建、查询、删除抓包任务等接口。 反病毒管理 管理反病毒功能,包括查看、修改反病毒开关,修改反病毒规则等接口。 告警配置管理 管理告警配
护。 与虚拟私有云的关系 虚拟私有云(Virtual Private Cloud,VPC)是您在云上的私有网络,为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。 云防火墙支持防护VPC边界的流量,例如VPC与VPC之间、云上VPC与云下IDC之间。 与NAT网关的关系
风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处,重要网络区域与其它网络区域之间应采取可靠的技术隔离手段。 高 通过云原生VPC能力,将重要网络区域使用VPC隔离,不同重要级别的VPC之间的业务互访,使用云防火墙
SNAT或VPC间访问不通:关闭VPC边界防火墙的防护,请参见关闭VPC边界防火墙。 如果业务仍未恢复,可参考常见的故障原因: 网络故障:路由配置错误,网元故障。 策略拦截:其它安全服务、网络ACL或安全组配置错误导致的误拦截。 如果您需要华为云协助排查,可提交工单。 原因二:防护策略阻断流量 可能
开启私网IP流量防护请参见开启NAT网关流量防护。 如何防御网络攻击和病毒文件 提供以下几种方式: 入侵防御(IPS):结合多年攻防积累的经验规则,针对访问流量进行检测与防护,覆盖多种常见的网络攻击,有效保护您的资产。 IPS提供四种防护模式,如需调整防护模式请参见调整IPS防护模式拦截网络攻击。 观察模式:仅对攻
云防火墙是否支持跨区域使用? 云防火墙不支持跨区域使用。选择区域后,购买的云防火墙仅支持当前区域使用。 如您选择的区域提示无法购买CFW,您可通过VPC的网络ACL+VPC的安全组的方式进行防护。 云防火墙支持跨云使用吗? 云防火墙不支持跨云使用。目前仅支持对部署在华为云的业务提供防护,对于部署在非华为云的业务,无法提供防护。
自定义IPS特征 CFW支持自定义网络入侵特征规则,添加后,CFW将基于签名特征检测数据流量是否存在威胁。 自定义IPS特征支持添加HTTP、TCP、UDP、POP3、SMTP、FTP的协议类型。 自定义的特征建议具体化,避免太宽泛,否则可能会导致大部分流量匹配到该特征规则,影响流量转发性能。
切换入侵防御模式为EIP拦截攻击 CFW提供入侵防御功能,结合多年攻防积累的经验规则,针对访问流量进行检测与防护,覆盖多种常见的网络攻击,有效保护您的资产。 本文指导您通过标准版防火墙将入侵防御模式切换至“拦截模式-中等”实现弹性公网IP(EIP)的防护,帮助您灵活防护云上资产。
如果业务迁移时组网发生改变,则需要重新改写原有策略中的网络信息(如IP地址)。 为减小迁移对业务的影响,建议将所有规则的“启用状态”先设置为“禁用”(尤其是阻断类策略),待导入表格并检查策略配置正确后,再启用策略。 导入后的策略优先级低于已创建的策略。 云防火墙与网络ACL、安全组等防护检测服务的策略都设置为放行时,才能正常放行指定流量。
操作步骤请参见企业路由器中添加VPC连接。 连接需要添加两条,“连接资源”分别选择VPC1和VPC-NAT。 创建两个路由表。 在左侧导航栏中,单击左上方的,选择“网络 > 企业路由器”,单击“管理路由表”,进入“路由表”页面。 创建两个路由表,作为关联路由表和传播路由表分别用于连接需防护的VPC和连接防火墙。
API 防火墙管理 EIP管理 ACL规则管理 黑白名单管理 地址组管理 服务组管理 域名解析及域名组管理 IPS管理 日志管理 抓包管理 反病毒管理 告警配置管理 标签管理
提供EIP的精细化访问控制策略配置 满足日志查询需求 标准版 包周期 EIP 满足等保需求 提供网络入侵、主机失陷等网络安全防护 专业版 按需 包周期 EIP VPC 满足等保或重保需求 提供网络入侵、主机失陷、内部网络互访等网络安全防护。 表2 版本差异说明 功能 基础版(新)① 标准版 专业版(包周期)
- 2022年06月 序号 功能名称 功能描述 阶段 相关文档 1 云防火墙-专业版 支持互联网边界防护、公网资产ACL访问控制、网络全流量分析、网络入侵防御IPS、VPC间流量防护和VPC间资产保护。 商用 服务版本差异 2 VPC间防护 新增VPC间边界防护功能,用于检测两个VPC间的通信流量。
仅放行云内资源对指定域名的访问流量 介绍如何快速放行云内资源对某个域名的访问流量,适用于业务仅需要访问指定域名时的场景。 使用CFW防御网络攻击 介绍如何使用CFW防护各类网络攻击,适用为云上业务拦截网络攻击的场景。 VPC间边界防火墙配置 介绍VPC边界防火墙的配置流程,适用于对VPC间流量防护有需求的场景。
责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任,如图1所示。
不再经过其他功能的检测。 入侵防御:根据多个IPS规则库拦截网络攻击。 病毒防御:通过协议类型拦截病毒文件。 防护规则:通过添加防护规则拦截/放行流量 黑/白名单:通过添加黑白名单拦截/放行流量 入侵防御:拦截网络攻击 病毒防御:拦截病毒文件 查看日志 通过日志查看流量的防护效果。
(可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 在左侧导航栏中,选择“访问控制 > 对象组管理”,进入“对象组管理”界面。 (可选)如删除网络域名组,则选择“网络域名组”页签。 切换至“域名组”页签,单击待删除的“操作”列的“删除”,在弹出的确认框中,输入“DELETE”,单击“确定”,完成删除。
建议为NAT网关创建独立VPC不用于云服务器等实例网络配置,避免影响后续的访问控制。 在前期网络规划复杂甚至不合理的情况下(例如存在VPC网段重叠、NAT网关已有复杂配置、已通过VPC-Peering配置东西向通信等场景下),请充分评估网络互连、环路、路由冲突等风险。 因涉及组件多,不
添加拦截的防护规则:流量将直接拦截。 通过黑白名单放行/拦截流量: 添加白名单:流量将直接放行,不再经过其他功能的检测。 添加黑名单:流量将直接拦截。 如果希望拦截网络攻击,请参见拦截网络攻击。 父主题: 企业路由器模式(新版)
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
