检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
配置访问控制策略管控流量 访问控制策略概述 通过配置防护规则拦截/放行流量 通过添加黑白名单拦截/放行流量 通过策略助手查看防护信息 访问控制策略管理 IP地址组管理 域名组管理 服务组管理
查询域名组列表 功能介绍 查询域名组列表 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/domain-sets 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID, 可以从调API处获取,也可以从控制台获取。项目ID获取方式
防止数据被窃取。 数据完整性校验 CFW进程启动时,配置数据从配置中心获取而非直接读取本地文件。 数据隔离机制 租户区与管理面隔离,租户的所有操作权限隔离,不同租户间的策略、日志等数据隔离。 数据销毁机制 考虑到残留数据导致的信息泄露问题,华为云根据客户等级设定了不同的保留期时长
在左侧导航栏中,选择“攻击防御 > 入侵防御”,进入“入侵防御”界面 ,保持“基础防御”右侧开关开启。 单击“基础防御”中的“查看生效中的规则”,进入“基础防御规则”页面。 (可选)如需查看某类规则的参数详情,可在上方筛选输入框中,选择对应条件,筛选相关参数。 单击待修改动作的“操作”列,选择对应动作。
图1 创建VPC边界防火墙(旧版) 表1 创建VPC边界防火墙参数说明 参数名称 参数说明 取值示例 企业路由器 选择您的企业路由器,查看方式请参见查看企业路由器。 cfw-er Inspection VPC 选择VPC。此处的Inspection VPC不能与用于关联企业路由器的其他VPC有重叠网段。
(可选)再次使用业务VPC下测试机进行网络连通性测试,查看防火墙流量日志中有响应记录,则证明防火墙引流成功。查询流量日志请参见流量日志。 在防火墙上配置NAT防护规则。 (可选)使用测试机,访问IP或域名,查看访问控制日志是否有命中该条规则的日志,有则证明防护规则生效,查询访问控制日志请参见访问控制日志。
攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击; 是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其它可疑行为。 查看和修改规则库请参见修改入侵防御规则的防护动作 虚拟补丁 在网络层级为IPS提供热补丁,实时拦截高危漏洞的远程攻击行为,同时避免修复漏洞时造成业务中断。
在设置时间间隔内,当攻击次数大于或等于您设置的阈值时系统才会发送告警通知。 通知群组 单击下拉列表选择已创建的主题,用于配置接收告警通知的终端。 单击“查看主题”创建新主题的操作步骤如下: 参见创建主题创建一个主题。 配置接收告警通知的手机号码、邮件地址、函数、平台应用的终端、DMS或HTTP
状态码 正常 状态码 描述 说明 200 OK 请求成功。 异常 状态码 描述 说明 400 Bad Request 错误的请求。 401 Unauthorized 请求未授权。 403 Forbidden 禁止访问。 404 Not Found 网页未找到。 500 Internal
置为“Deny”,然后同时将“CFW FullAccess”和拒绝策略授予用户,根据Deny优先原则用户可以对CFW执行除了删除黑白名单的所有操作。以下策略样例表示:拒绝用户删除黑白名单。 1 2 3 4 5 6 7 8 9 10 11 { "Version":
护需求。 拦截模式-严格:防护粒度精细,全量拦截攻击请求。 建议您优先开启“观察模式”,等待业务运行一段时间后,再逐步更换至“拦截模式”,查看攻击事件日志,请参见攻击事件日志。 如果存在误拦截情况,可对基础防御规则库的单条防御规则进行动作修改。具体操作请参见IPS规则管理。 开启敏感目录扫描防御
即停止服务,资源进入宽限期。您需支付按需资源在宽限期内产生的费用,相关费用可在管理控制台右上方“费用中心 > 总览”页面,在“欠费金额”处查看,华为云将在您充值时自动扣取欠费金额。 如果您在宽限期内仍未支付欠款,那么就会进入保留期,资源状态变为“已冻结”,您将无法对处于保留期的按需计费资源执行任何操作。
击事件日志中并进行拦截。 禁用:修改为“禁用”状态,修改后防火墙对当前协议的流量不进行病毒检测。 后续操作 整体防护概况请参见通过安全看板查看攻击防御信息,详细日志信息请参见攻击事件日志。 父主题: 拦截恶意攻击
在“防火墙状态”侧,单击“开启防护”。 单击“确认”,完成开启VPC边界防火墙。 验证流量是否经过云防火墙 生成流量,请参见验证网络互通情况。 查看日志:在左侧导航栏中,选择“日志审计 > 日志查询” ,选择“流量日志 > VPC边界防火墙”页签。 有日志记录:云防火墙已成功防护VPC间流量。 无日志记录,排查
表 创建路由参数说明。 图1 创建路由 表3 创建路由参数说明 参数名称 参数说明 目的地址 设置目的地址。 0.0.0.0/0:VPC的所有流量都会经过云防火墙防护 网段:该网段的流量会经过云防火墙防护 黑洞路由 建议您保持关闭状态;开启后如果路由匹配上黑洞路由的目的地址,则该路由的报文会被丢弃。
志报告。 说明: 为了保证正确性,报告发送时间可能存在延迟。 通知群组 单击下拉列表选择已创建的主题,用于配置接收日志报告的终端。 单击“查看主题”创建新主题的操作步骤如下: 参见创建主题创建一个主题。 配置接收告警通知的手机号码、邮件地址、函数、平台应用的终端、DMS或HTTP
括手动续费和自动续费两种方式,您可以根据需求选择。了解更多关于续费的信息,请参见续费概述。 费用账单 您可以在“费用与成本 > 费用账单”查看与云防火墙相关的流水和明细账单,以便了解您的消费情况。如需了解具体操作步骤,请参见费用账单。 欠费 在使用云防火墙时,账户的可用额度小于待
需要设置报告发送时间点,默认发送上一个统计周期的日志报告。 通知群组 单击下拉列表选择已创建的主题,用于配置接收日志报告的终端。 单击“查看主题”创建新主题的操作步骤如下: 参见创建主题创建一个主题。 配置接收告警通知的手机号码、邮件地址、函数、平台应用的终端、DMS或HTTP
络流量。 什么是可疑DNS活动 DNS(Domain Name System,域名系统),是用于将域名转换成用于计算机连接的IP地址的一套查询和转换系统。当用户在浏览器中输入网站的域名时,浏览器会向域名解析服务器(DNS服务器)发送域名解析请求,DNS服务器返回域名对应的IP地址
和9。 检查待防护VPC的默认路由表是否将路由转向企业路由器。 查看方式: 1、在左侧导航栏中,选择“网络 > 虚拟私有云 > 路由表”,进入“路由表”页面,在“名称/ID”列,单击对应VPC的路由表名称。 2、查看是否存在“下一跳类型”为“企业路由器”的路由。若不存在,单击“添加路由”,参数详情见表
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
