-
业务流量异常怎么办? - 云防火墙 CFW
观察业务情况。 业务恢复正常,请参见排查思路。 业务仍未恢复,说明非CFW造成的流量中断,可参考常见的故障原因: 网络故障:路由配置错误,网元故障。 策略拦截:其他安全服务、网络ACL或安全组配置错误导致的误拦截。 如果您需要华为云协助排查,可提交工单。 排查思路 在访问控制日志中,搜索被阻断IP/域名的日志记录。
-
配置阻断IP的防护规则需要注意哪些? - 云防火墙 CFW
配置阻断IP的防护规则需注意以下几点: 建议优先配置精准的IP(如192.168.10.5),减少网段配置,避免误拦截。 对于反向代理IP(如内容分发网络(CDN)、DDoS高防、Web应用防火墙(WAF)的回源IP),请谨慎配置阻断的防护规则,建议配置放行的防护规则或白名单。 对于正向代理
-
步骤五:开启VPC边界防火墙 - 云防火墙 CFW
步骤五:开启VPC边界防火墙 配置完成后,防火墙默认为“未开启”状态,此时流量只经过企业路由器,未转发到防火墙。您可选择手动开启VPC间防火墙功能。 开启前建议您测试网络连通性,请参见(可选)连通性验证。 开启VPC边界防火墙 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航树中,单击左上方的,选择“安全与合规
-
(可选)连通性验证 - 云防火墙 CFW
方式请参见配置关联路由表和配置传播路由表。 检查待防护VPC的默认路由表是否将路由转向企业路由器。 查看方式: 1、在左侧导航栏中,选择“网络 > 虚拟私有云 > 路由表”,进入“路由表”页面,在“名称/ID”列,单击对应VPC的路由表名称。 2、查看是否存在“下一跳类型”为“企
-
修改基础防御规则动作 - 云防火墙 CFW
修改基础防御规则动作 “基础防御”功能不支持关闭,可通过更改防护模式进行切换,主要进行检查威胁及漏洞扫描,检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击,是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其他可疑行为。
-
自定义IPS特征 - 云防火墙 CFW
自定义IPS特征 CFW支持自定义网络入侵特征规则,添加后,CFW将基于签名特征检测数据流量是否存在威胁。 自定义IPS特征支持添加HTTP、TCP、UDP、POP3、SMTP、FTP的协议类型。 自定义的特征建议具体化,避免太宽泛,否则可能会导致大部分流量匹配到该特征规则,影响流量转发性能。
-
查看IPS规则库 - 云防火墙 CFW
查看IPS规则库 “基础防御”功能不支持关闭,可通过更改防护模式进行切换,主要进行检查威胁及漏洞扫描,检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击,是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其他可疑行为。
-
约束与限制 - 云防火墙 CFW
制所示,版本支持的功能差异如服务版本差异所示。 使用约束与限制 不支持GEIP的引流防护。 CFW ALG标签功能受限。 CFW默认不开启网络层流量类型DDoS攻击与IP欺骗防御功能。 域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全,建议优先使用自定义域名服务器。
-
云防火墙是否支持跨云或跨区域使用? - 云防火墙 CFW
云防火墙是否支持跨区域使用? 云防火墙不支持跨区域使用。选择区域后,购买的云防火墙仅支持当前区域使用。 如您选择的区域提示无法购买CFW,您可通过VPC的网络ACL+VPC的安全组的方式进行防护。 云防火墙支持跨云使用吗? 云防火墙不支持跨云使用。目前仅支持对部署在华为云的业务提供防护,对于部署在非华为云的业务,无法提供防护。
-
CFW与WAF、DDoS高防、CDN同时使用时的注意事项 - 云防火墙 CFW
CFW与WAF、DDoS高防、CDN同时使用时的注意事项 本文介绍云防火墙在网络架构中的位置,以及与其他华为云服务一起使用时,云防火墙上的策略配置和注意事项。 应用场景 当购买了华为云的其他产品后,业务流量会经过多道防护,可能会存在开启反向代理导致IP地址发生转换的场景。 在对入
-
责任共担 - 云防火墙 CFW
责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任,如图1所示。
-
等保合规能力说明 - 云防火墙 CFW
风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 高 通过云原生VPC能力,将重要网络区域使用VPC隔离,不同重要级别的VPC之间的业务互访,使用云防火墙
-
服务版本差异 - 云防火墙 CFW
提供EIP的精细化访问控制策略配置 满足日志查询需求 标准版 包周期 EIP 满足等保需求 提供网络入侵、主机失陷等网络安全防护 专业版 按需 包周期 EIP VPC 满足等保或重保需求 提供网络入侵、主机失陷、内部网络互访等网络安全防护。 表2 版本差异说明 功能 基础版(新)① 标准版 专业版(包周期)
-
最新动态 - 云防火墙 CFW
- 2022年06月 序号 功能名称 功能描述 阶段 相关文档 1 云防火墙-专业版 支持互联网边界防护、公网资产ACL访问控制、网络全流量分析、网络入侵防御IPS、VPC间流量防护和VPC间资产保护。 商用 服务版本差异 2 VPC间防护 新增VPC间边界防护功能,用于检测两个VPC间的通信流量。
-
SNAT防护概述 - 云防火墙 CFW
建议为NAT网关创建独立VPC不用于云服务器等实例网络配置,避免影响后续的访问控制。 在前期网络规划复杂甚至不合理的情况下(例如存在VPC网段重叠、NAT网关已有复杂配置、已通过VPC-Peering配置东西向通信等场景下),请充分评估网络互连、环路、路由冲突等风险。 因涉及组件多,不
-
功能特性 - 云防火墙 CFW
SMTP、FTP的协议类型。 “敏感目录扫描防御”:防御对用户主机敏感目录的扫描攻击。 “反弹Shell检测防御”:防御网络上通过反弹shell方式进行的网络攻击。 “安全看板”:快速查看IPS的防护信息,及时调整IPS防护。 病毒防御 病毒防御(Anti-Virus,AV)功能
-
删除域名组 - 云防火墙 CFW
(可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 在左侧导航栏中,选择“访问控制 > 域名组管理”,进入“添加域名组”界面。 (可选)如删除网络域名组,则选择“网络域名组”页签。 单击待删除的“操作”列的“删除”,在弹出的确认框中,输入“DELETE”,单击“确定”,完成删除。 删除域名组后无法恢复,请谨慎操作。
-
基本概念 - 云防火墙 CFW
火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授
-
(可选)步骤四:查看防护详情 - 云防火墙 CFW
(可选)步骤四:查看防护详情 查看网络流量分析 查看防护日志
-
系统管理 - 云防火墙 CFW
系统管理 告警通知 网络抓包 多账号管理 配置DNS解析 失败配置 安全报告
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
