检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
仅放行互联网对指定端口的访问流量 应用场景 为了提升安全性,需要仅放行部分端口(例如80端口、443端口)的流量访问云内资源。 本文介绍如何通过CFW对云资源进行精细化管控,允许所有公网地址访问EIP(xx.xx.xx.1)的80端口。 操作步骤 购买云防火墙标准版或专业版,请参见购买云防火墙。
示例三:放行业务访问某平台的流量 本文提供放行业务访问某平台的流量的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 放行业务访问某平台的流量 假如您需要放行EIP(xx.xx.xx.48)对“cfw-test.com”和“*.example.com”的80端口和443
应用:HTTP、HTTPS 动作:放行 图2 放行域名的访问流量 通过访问控制日志查看命中详情。 在左侧导航栏中,选择“日志审计 > 日志查询”。默认进入“攻击事件日志”页面,选择“访问控制日志”页签。 日志中“目的IP”列是任意example.com的域名时,对应的“响应动作”是“放行”,其他流量对应的“响应动作”是“阻断”。
如您需设置某个端口,可填写为单个端口。例如设置22端口的访问,则配置“端口”为“22”。 如您需设置某个范围的端口,可填写为连续端口组,中间使用“-”隔开。例如设置80-443端口的访问,则配置“端口”为“80-443”。 服务组:支持多个服务(协议、源端口、目的端口)的集合,添加自定义服务组请参见添加
示例一:放行入方向中指定IP的访问流量 本文提供放行入方向中指定IP访问流量的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 单独放行入方向中指定IP的访问流量 配置两条防护规则,一条拦截所有流量,如图 拦截所有流量所示,优先级置于最低,一条单独放行指定IP的流量访问,如图
步骤四:添加防护规则——放行访问指定EIP的入方向流量 配置一条放行指定EIP(本文以xx.xx.xx.1为例)入方向流量的防护规则,并将它优先级设置在阻断规则之上。 步骤五:通过访问控制日志查看命中详情 查看防护规则是否生效。 操作视频 本视频介绍如何配置防护规则放行指定弹性公网IP(EIP)的入方向流量。
协议类型当前支持:TCP、UDP、ICMP、Any。 端口 “协议类型”选择“TCP”或“UDP”时,设置需要放行或拦截的端口。 说明: 如您需设置该IP地址的全部端口,可配置“端口”为“1-65535”。 如您需设置某个端口,可填写为单个端口。例如放行/拦截该IP地址22端口的访问,则配置“端口”为“22”。 如
安全看板”,进入“安全看板”页面。 在页面上方,选择“互联网边界”或“VPC边界”页签。 查看防火墙实例下防护规则的统计信息,您可以在下拉框中选择查询时间。 安全看板:IPS检测到的攻击总数、放行/拦截的总数、被攻击的端口个数。 攻击趋势:IPS阻断或放行的流量次数。 可视化统计:IPS检测/拦截到的攻击参数TOP
通过配置防护规则拦截/放行流量 通过添加防护规则拦截/放行流量 示例一:放行入方向中指定IP的访问流量 示例二:拦截某一地区的访问流量 示例三:放行业务访问某平台的流量 示例四:配置SNAT的防护规则 父主题: 配置访问控制策略管控流量
Any。 源端口:当前开放或限制的源端口号。支持单个端口,或者连续端口组,中间使用“-”隔开,如:80-443。 目的端口:当前开放或限制的目的端口号。 支持单个端口,或者连续端口组,中间使用“-”隔开,如:80-443。 应用 访问流量中的应用类型。 动作 “放行”:设置相应流量通过防火墙。
拦截/放行流量。 SNAT防护配置 假如您的私网IP为“10.1.1.2”, 通过NAT网关访问的外部域名为“www.example.com”,您可以参照以下参数配置NAT防护,其余参数可根据您的部署进行填写: 图1 添加NAT防护规则 父主题: 通过配置防护规则拦截/放行流量
策略助手”,进入“策略助手”页面。 查看防火墙实例下防护规则的统计信息。 策略看板:查看指定时间段内防护策略(防护规则和黑白名单)命中/放行/阻断的总数,以及高频命中的放行/阻断策略。 策略命中情况:查看指定时间段内指定规则的命中详情。 可视化统计:查看指定时间段内访问规则拦截的攻击事件中指定参数的
本文提供拦截某一地区的访问流量的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 拦截某一地区的访问流量 假如您需要拦截所有来源“北京”地区的访问流量,可以参照以下参数设置防护规则。 图1 拦截北京地区的访问流量 父主题: 通过配置防护规则拦截/放行流量
访问源IP所属的地理位置。 源端口 访问控制的源端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 目的IP 访问的目的IP。 目的网址 访问的域名地址。 目的国家/地区 访问目的IP所属的地理位置。 目的端口 访问控制的目的端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443
拉美-圣保罗一 拉美-圣地亚哥 中东-利雅得 管理病毒防御功能 日志审计 通过日志审计功能,可查看攻击事件日志、访问控制日志、流量日志,包括攻击发生时间、攻击类型、危险等级、源端口、源IP、目的IP、目的端口等信息。 支持区域: 华北-北京四 华东-上海一 华东-上海二 华东-青岛 华东二 华南-广州
com。 服务-源端口/目的端口 1-65535 所有端口生效。 服务-源端口/目的端口 80-443 对80到443之间的所有端口生效。 服务-源端口/目的端口 80 443 对80和443端口生效。 相关文档 添加单个规则实现流量防护,请参见通过添加防护规则拦截/放行流量,添加单个
permit:放行 deny:阻断 hit_time long 访问发生的时间。 流量日志 字段 类型 描述 src_ip string 源IP地址。 src_port string 源端口号。 dst_ip string 目的IP地址。 dst_port string 目的端口号。 protocol
入方向流量的目的IP地址。 TOP开放端口 入方向流量的目的端口。 应用分布 入方向流量的应用信息。 IP分析:查看指定时间段内 TOP 50 的流量信息。 公开IP分析:目的IP的流量信息。 访问源IP分析:源IP的流量信息。 父主题: 查看流量数据
6小时(含)~3天:取5分钟内的平均值 3天(含)~7天(含):取30分钟内的平均值 可视化统计:查看指定时间段内出方向流量中指定参数的 TOP 5 排行,参数说明请参见表 出云流量可视化统计参数说明。单击单条数据查看流量详情,每个详情支持查看50条数据。 表2 出云流量可视化统计参数说明 参数名称 参数说明 TOP访问目的IP
防护规则没有生效怎么办? 配置了仅放行几条EIP的规则,为什么所有流量都能通过? 云防火墙开启EIP防护后,访问控制策略默认状态为放行。如您希望仅放行几条EIP,您需配置阻断全部流量的防护规则,并设为优先级最低,可按如下步骤进行: 登录管理控制台。 单击管理控制台左上角的,选择区域。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
