检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
已支持云防火墙,则可以使用云防火墙防护DEC的资源。 云防火墙支持的区域请参见功能总览。 购买云防火墙服务时,需要先切换到DEC项目下,再进行购买。 父主题: 产品咨询
云防火墙如何变更版本规格? 云防火墙不支持基础版升级,支持标准版升级到专业版,不支持专业版变更到标准版。如需更换基础版或降低版本规格,需退订当前版本后再进行购买。 有关退订CFW的详细操作,请参见如何退订云防火墙?。 从标准版升级到专业版 登录管理控制台。 单击管理控制台左上角的,选择区域。
配置两条防护规则,一条拦截所有流量,如图 拦截所有流量所示,优先级置于最低,一条单独放行指定IP的流量访问,如图 放行指定IP所示,优先级设置最高,其余参数可根据您的部署进行填写。 图1 拦截所有流量 图2 放行指定IP 父主题: 通过配置防护规则拦截/放行流量
CFW的数据保护手段和特性 数据保护手段 简要说明 静态数据保护 CFW通过敏感数据加密保证用户流量中敏感数据的安全性。 传输中的数据保护 微服务间管理数据传输进行加密,防止数据在传输过程中泄露或被篡改。用户的配置数据传输采用安全协议HTTPS,防止数据被窃取。 数据完整性校验 CFW进程启动时,配置
0/12、192.168.0.0/16以及运营商级NAT保留网段100.64.0.0/10以外的公网网段作为私网地址段)的情况,请您修改私网网段或提交工单进行私网网段扩容,否则云防火墙可能无法正常转发VPC间的流量。 修改私网网段 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规
假如您需要放行EIP(xx.xx.xx.48)对“cfw-test.com”和“*.example.com”的访问流量,设置参数如下,其余参数可根据您的部署进行填写。 将平台域名添加至应用型域名组,如图 添加某平台域名组所示。 配置两条防护规则: 一条拦截所有流量,如图 拦截所有流量所示,优先级置于最低。
Key):与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。 使用AK/SK认证时,您可以基于签名算法使用AK/SK对请求进行签名,也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名
I入侵防御引擎对恶意流量实时检测和拦截,与安全服务全局联动,防御木马蠕虫、注入攻击、漏洞扫描、网络钓鱼等攻击。 灵活扩展 CFW可对全流量进行精细化管控,包括互联网边界防护、跨VPC的流量,防止外部入侵、内部渗透攻击和从内到外的非法访问;同时,带宽/EIP/安全策略等关键性能规格
访问控制策略概述 开启防护后,云防火墙默认放行所有流量,配置合适的访问控制策略能有效地帮助您对内部服务器与外网之间的流量进行精细化管控,防止内部威胁扩散,增加安全战略纵深。 访问控制策略类型 访问控制策略分为“防护规则”和“黑/白名单”两类功能,区别如表1所示,流量命中某一条策略
云防火墙开启EIP防护后,访问控制策略默认状态为放行。如您希望仅放行几条EIP,您需配置阻断全部流量的防护规则,并设为优先级最低,可按如下步骤进行: 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。
围。 如果华为账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用CFW服务的其它功能。 IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。关于IAM的详细介绍,请参见《IAM产品介绍》。 CFW权限
system,入侵防御系统)设置访问控制。IPS支持观察模式和阻断模式,当您选择阻断模式时,云防火墙根据IPS规则检测出符合攻击特征的流量进行阻断。具体配置步骤请参考配置访问控制策略。 父主题: 产品咨询
根据权限进行代运维。 如果华为账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用CFW服务的其它功能。 本章节为您介绍对用户授权的方法,操作流程如图1所示。 前提条件 给用户组授权之前,请您了解用户组可以添加的CFW权限,并结合实际需求进行选择,C
更改日志存储时长 默认存储日志的时间为7天,存储时间可以在1~365天之间进行设置,超出存储时间的日志数据将会被自动删除,对于需要长期存储的日志数据(日志持久化),LTS提供转储功能,可以将日志转储至对象存储服务(OBS)中长期保存。 更改日志存储时长 将日志转储至LTS,操作步骤请参见配置日志。
添加域名组 域名组是多个域名或泛域名的集合。您可以通过添加域名组批量对域名或泛域名进行防护。 提供以下两种类型: 应用域名组:支持域名或泛域名的防护;适用应用层协议,支持HTTP、HTTPS、TLS、SMTPS、POPS的应用协议类型;通过域名匹配。 网络域名组:支持单个域名或多
导入/导出防护策略 如果您需批量添加和导出防护规则、黑/白名单、IP地址组,服务组、域名组,请参照本章节进行处理。 规格限制 如果业务需要导入/导出VPC边界防护策略,请确认防火墙版本是“专业版”。 批量导入防护策略 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规
防火墙无法防护NAT64转换前的真实源IP,如果您开启了弹性公网IP的IPv6转换功能,NAT64会将源IP转换成198.19.0.0/16的网段进行ACL访问控制。 使用IPv6访问时建议放行预定义地址组中“NAT64转换地址组”,设置后198.19.0.0/16网段中的IP均会被放行
应区域进行购买。有关支持购买CFW的区域说明,请参见云防火墙支持哪些区域?。 版本规格 标准版。 选择服务版本。 确认信息无误后,单击“立即购买”。 确认订单详情,阅读并勾选“我已阅读并同意《华为云防火墙服务声明》”,单击右下角“去支付”。 在“付款”页面,选择付款方式进行付款。
CFW权限及授权项 如果您需要对您所拥有的CFW进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用CFW服务的其它功能。
您可以将攻击事件日志、访问控制日志、流量日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的CFW日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 LTS对于采集的日志数据,通过海量日志数据的分析与处理,可以为您提供一个实时、高效、安全的日志处理能力。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
