检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
源,可通过标签实现对云资源的分类和搜索。 关于标签更详细的说明,请参见标签概述。 设置关联路由表。 设置关联功能,添加VPC1和VPC-NAT的连接:在路由表设置页面,选择关联路由表,单击“关联”页签,单击“创建关联”,参数详情见表 创建关联参数说明。 表2 创建关联参数说明 参数名称
云防火墙提供的防护带宽是多少? 云防火墙为您提供互联网边界和VPC之间的防护,您可根据需要扩展防护带宽。根据您购买的服务版本的不同,云防火墙提供不同规格的防护带宽: 互联网方向:基础版默认10 Mbps(不可扩容),标准版默认10 Mbps,专业版默认50 Mbps。 互联网方向
调整防护规则的优先级 流量命中某一条规则时,执行该规则的动作,并结束防护规则的匹配。建议设置放行的规则优先级高于阻断的规则,具体化的规则优先级高于宽泛的规则。 本文指导您调整防护规则的优先级顺序。 优先级排序 数字越大,优先级越低,1是最高优先级。 调整防护规则的优先级 登录管理控制台。
云防火墙支持防护其它企业项目下的资源吗? 支持,CFW支持防护当前区域、当前账号下所有的云资源(EIP、VPC、NAT网关)。 开通企业管理功能,并在购买CFW时选择了企业项目,CFW的账单会归属到该项目下,不影响资源防护。 企业通过企业项目管理业务时如何规划云防火墙的方案示例请参见使用CFW防护企业资源。
支持云审计的CFW操作列表 云审计服务(Cloud Trace Service,CTS)记录了云防火墙相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见《云审计服务用户指南》。 云审计服务支持的CFW操作列表如表 云审计服务支持的CFW操作列表所示。 表1 云审计服务支持的CFW操作列表
示例四:配置SNAT的防护规则 本文提供SNAT防护的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 SNAT防护配置 假如您的私网IP为“10.1.1.2”, 通过NAT网关访问的外部域名为“www.example.com”,您可以参照以下参数配置NAT防护,其余参数可根据您的部署进行填写:
为什么使用NAT64转换的IP地址被阻断了? 防火墙无法防护NAT64转换前的真实源IP,如果您开启了弹性公网IP的IPv6转换功能,NAT64会将源IP转换成198.19.0.0/16的网段进行ACL访问控制。 使用IPv6访问时建议放行预定义地址组中“NAT64转换地址组”,设置后198
云防火墙能否防护DEC(专属云)上部署的资源? 如果专属云(Dedicated Cloud,DEC)所在的Region上已支持云防火墙,则可以使用云防火墙防护DEC的资源。 云防火墙支持的区域请参见功能总览。 购买云防火墙服务时,需要先切换到DEC项目下,再进行购买。 父主题: 产品咨询
互联网边界防护带宽:所有经过云防火墙防护的EIP的流量总和最大值,按照入云流量(入流量)或出云流量(出流量)的最大值取值。 VPC边界防护带宽:所有经过云防火墙防护的VPC的流量总和最大值。 父主题: 产品咨询
近1小时 取1分钟内的平均值 取1分钟内的最大值 近24小时 取5分钟内的平均值 取5分钟内的最大值 近7天 取1小时内的平均值 取1小时内的最大值 自定义 5分钟~6小时:取1分钟内的平均值 6小时(含)~3天:取5分钟内的平均值 3天(含)~7天(含):取30分钟内的平均值 5分钟~6小时:取1分钟内的最大值
示例三:放行业务访问某平台的流量 本文提供放行业务访问某平台的流量的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 放行业务访问某平台的流量 假如您需要放行EIP(xx.xx.xx.48)对“cfw-test.com”和“*.example.com”的访问流量,设置参数如下,其余参数可根据您的部署进行填写。
示例一:放行入方向中指定IP的访问流量 本文提供放行入方向中指定IP访问流量的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 单独放行入方向中指定IP的访问流量 配置两条防护规则,一条拦截所有流量,如图 拦截所有流量所示,优先级置于最低,一条单独放行指定IP的流量访问,如图 放
示例二:拦截某一地区的访问流量 本文提供拦截某一地区的访问流量的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 拦截某一地区的访问流量 假如您需要拦截所有来源“北京”地区的访问流量,可以参照以下参数设置防护规则。 图1 拦截北京地区的访问流量 父主题: 通过配置防护规则拦截/放行流量
日志审计是保证云防火墙可靠性、可用性和性能的重要组成部分。用户可以汇总华为云服务的操作日志并进行分析、审计、资源监控和问题定位。 CFW已对接云审计服务(Cloud Trace Service, CTS)。华为云云审计服务提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析
CFW通过多种数据保护手段和特性,保证通过CFW的数据安全可靠。 表1 CFW的数据保护手段和特性 数据保护手段 简要说明 静态数据保护 CFW通过敏感数据加密保证用户流量中敏感数据的安全性。 传输中的数据保护 微服务间管理数据传输进行加密,防止数据在传输过程中泄露或被篡改。用户的配置数据传输
使用API购买并查询CFW 应用场景 对于专业人士而言,使用API的效率高于控制台操作,CFW提供多个功能的API接口,请参见API接口。 本文介绍如何通过API的方式快速购买和查询标准版防火墙实例。 前提条件 当前账号拥有BSS Administrator和CFW FullAccess权限。 购买并查询标准版防火墙
本节定义了云防火墙上报云监控服务的监控指标的命名空间和监控指标列表,用户可以通过云监控服务提供管理控制台来检索云防火墙产生的监控指标和告警信息。 命名空间 SYS.CFW 命名空间是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间,不同命名空间中的数据彼此隔离。使得它们既可
应用场景 VPC之间存在着大量的数据交换需求,CFW提供的VPC间流量防护能够检测和统计VPC间的通信流量数据,帮助您发现异常流量。 本文介绍如何配置云防火墙实现VPC1(172.16.0.0/16)和VPC2(172.18.0.0/16)之间的流量防护。 约束条件 仅“专业版”支持VPC边界防火墙。
会根据防护流量的实际情况每小时出账单,并从账户余额里扣款。 云防火墙支持一个区域下购买多个防火墙,便于管理不同场景下的资源和策略。 前提条件 当前账号拥有BSS Administrator和CFW FullAccess权限。 约束条件 购买的云防火墙只能在当前选择的区域使用,如需
病毒防御(Anti-Virus,AV)功能通过病毒特征检测来识别和处理病毒文件,避免由病毒文件引起的数据破坏、权限更改和系统崩溃等情况发生,有效保护您的业务安全。 病毒防御功能支持检测HTTP、SMTP、POP3、FTP、IMAP4、SMB的协议类型。 规格限制 仅专业版支持病毒防御功能。 开启病毒防御拦截病毒文件
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
