检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
仅放行互联网对指定端口的访问流量 应用场景 为了提升安全性,需要仅放行部分端口(例如80端口、443端口)的流量访问云内资源。 本文介绍如何通过CFW对云资源进行精细化管控,允许所有公网地址访问EIP(xx.xx.xx.1)的80端口。 操作步骤 购买云防火墙标准版或专业版,请参见购买云防火墙。
名。 本文介绍如何通过CFW对云资源进行精细化管控,实现放行所有EIP对指定域名(本文以泛域名*.example.com为例)的80端口和443端口的访问流量。 操作步骤 购买云防火墙标准版或专业版,请参见购买云防火墙。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。
土耳其-伊斯坦布尔 拉美-墨西哥城二 拉美-圣保罗一 拉美-圣地亚哥 中东-利雅得 管理IP地址组 服务组 服务组是多个服务(协议、源端口、目的端口)的集合。通过使用服务组,可帮助您有效应对需要重复多次编辑访问规则的场景,并且方便管理这些访问规则。 支持区域: 华北-北京四 华东-上海一
访问源IP所属的地理位置。 源端口 访问控制的源端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 目的IP 访问的目的IP。 目的网址 访问的域名地址。 目的国家/地区 访问目的IP所属的地理位置。 目的端口 访问控制的目的端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443
协议类型当前支持:TCP、UDP、ICMP、Any。 源端口:当前开放或限制的源端口号。支持单个端口,或者连续端口组,中间使用“-”隔开,如:80-443。 目的端口:当前开放或限制的目的端口号。 支持单个端口,或者连续端口组,中间使用“-”隔开,如:80-443。 应用 访问流量中的应用类型。
删除自定义服务组 服务组是多个端口的集合。通过使用服务组,可帮助您便捷防御高危端口,有效应对需要重复编辑访问规则的场景,并且方便管理这些访问规则。 本文指导您删除自定义服务组。 约束条件 被防护规则引用的服务组不支持删除,需优先调整/删除对应规则。 删除自定义服务组 登录管理控制台。
放行业务访问某平台的流量 假如您需要放行EIP(xx.xx.xx.48)对“cfw-test.com”和“*.example.com”的80端口和443端口的访问流量,设置参数如下,其余参数可根据您的部署进行填写。 将平台域名添加至应用型域名组,如图 添加某平台域名组所示。 配置两条防护规则:
ICMP为1,ICMPV6为58,ANY为-1,type为0手动类型时不能为空。 source_port 否 String 源端口 dest_port 否 String 目的端口 service_set_id 否 String 服务组id,当type为1(关联IP地址组)时不能
协议类型当前支持:TCP、UDP、ICMP。 TCP 源端口 设置需要开放或限制的源端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 说明: 协议选择ICMP时,无需填写端口号。 80 目的端口 设置需要开放或限制的目的端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443
"https://www.example.com" 方式二:使用浏览器访问域名。 请勿使用telnet命令进行域名测试。 使用telnet命令对域名和端口进行测试时(例如telnet www.example.com 80),只会生成TCP握手流量,并不会模拟完整的HTTP或HTTPS请求,此
基本概念 五元组 五元组包括:源IP地址、目的IP地址、协议号、源端口、目的端口。 防护流量 入云流量:从Internet流入云防火墙方向的流量,例如,从公网下载资源到云内服务器。 出云流量:从云防火墙流出到Internet方向的流量,例如,云内服务器对外提供服务,外部用户下载云内的资源。
外部IP攻击云内资产时,外部IP的来源地区。 TOP攻击目的IP 攻击事件中的目的IP。 TOP被攻击端口 攻击事件中受到攻击的端口。 TOP攻击统计: 查看指定时间段内IPS检测/拦截中攻击次数TOP 50信息。 TOP攻击目的统计:目的IP、目的端口、目的应用等信息。 TOP攻击来源统计:来源IP、来源类型等信息。
参数名称 参数说明 TOP访问源IP VPC间流量的源IP地址。 TOP访问目的IP VPC间流量的目的IP地址。 TOP开放端口 VPC间流量的目的端口。 应用分布 VPC间流量的应用信息。 私网IP活动明细:查看指定时间段内私网IP流量 TOP 50 信息。 父主题: 查看流量数据
入方向流量的源IP地址。 TOP访问来源地区 入方向流量的源IP所属的地理位置, TOP访问目的IP 入方向流量的目的IP地址。 TOP开放端口 入方向流量的目的端口。 应用分布 入方向流量的应用信息。 IP分析:查看指定时间段内 TOP 50 的流量信息。 公开IP分析:目的IP的流量信息。
出方向流量的目的IP地址。 TOP访问目的地区 出方向流量的目的IP所属的地理位置。 TOP访问源IP 出方向流量的源IP地址。 TOP开放端口 出方向流量的目的端口。 应用分布 出方向流量的应用信息。 IP分析:查看指定时间段内 TOP 50 的流量信息。 外联IP:目的IP的流量信息。 外联域名:域名信息。
已截止:抓包结果上传完毕,任务已提前结束。 协议类型 抓包的协议类型。 IP地址 抓包的IP地址,包括“源地址”和“目的地址”。 端口 抓包的端口,包括“源端口”和“目的端口”。 最大抓包数 当前任务的最大抓包数。 抓包时间 抓包任务运行的起止时间。 抓包时长(分钟) 抓包的运行时长。 剩余保留天数
ICMP为1,ICMPV6为58,ANY为-1,type为0手动类型时不能为空。 source_port 否 String 源端口 dest_port 否 String 目的端口 service_set_id 否 String 服务组id,当type为1(关联IP地址组)时不能
攻击事件日志 字段 类型 描述 src_ip string 源IP地址。 src_port string 源端口号。 dst_ip string 目的IP地址。 dst_port string 目的端口号。 protocol string 协议类型。 app string 应用类型。
协议类型当前支持:TCP、UDP、ICMP、Any。 端口 “协议类型”选择“TCP”或“UDP”时,设置需要放行或拦截的端口。 说明: 如您需设置该IP地址的全部端口,可配置“端口”为“1-65535”。 如您需设置某个端口,可填写为单个端口。例如放行/拦截该IP地址22端口的访问,则配置“端口”为“22”。 如
配置测试策略:为测试策略设置生效时间段,在测试期间,策略自动生效,确保测试的顺利进行;在测试结束时,策略会自动失效,无需手动操作。 控制公网暴露:当业务需要对外部开放端口时(例如仅办公时间开放),设置生效时间段可以有效减少公网暴露,降低潜在的安全风险。 特殊时间段的临时需求:临时的公网放行需求,无需担心忘记删除的安全风险。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
