检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
第三方防火墙的应用场景。 方案优势 支持用户的第三方防火墙。 用户云上云下流量经过第三方防火墙。 支持用户自定义的更加灵活的安全策略。 典型拓扑 假设用户业务部署在VPC1、VPC2、VPC3及本地IDC中,并且需要在云上使用第三方虚拟化防火墙。用户可以将第三方虚拟化防火墙配置在
弹性云服务器防火墙配置完成后,为什么网络不通? 问题描述 如果您的云服务器安装完防火墙后,发现网络不通,请根据本章节指导排查原因。常见客户场景示例如下: 在同一个VPC内,客户有三台ECS,业务部署在ECS1和ECS2上,在ECSX上安装了第三方防火墙,从ECS1和ECS2出来的
络互通。 防火墙所在VPC vpc-X为防火墙VPC,路由表的规划详情如表7所示。 在vpc-X的默认路由表中,根据您防火墙部署方案分为以下情况: 防火墙部署在一台ECS上,则添加目的地址为默认网段(0.0.0.0/0),下一跳为ecs-X01的路由,将流量引入防火墙所在的云服务器。
解决方法请参考网络ACL存在限制。 本地网络配置异常 防火墙拦截 查看并禁用Windows弹性云服务器防火墙策略,禁用后检查是否可以连通网络。 Linux系统请参考检查防火墙配置。 Windows系统请参考检查云服务器的防火墙。 网卡配置异常 检查网卡配置、DNS配置是否正确。 Linux系统请参考检查网卡配置。
放通对应协议端口。 实例防火墙限制端口访问 安全组和防火墙都可以对实例(如ECS)进行防护,当在安全组中开通某个端口的访问时,ECS的防火墙可能限制该端口的访问,您需要关闭防火墙,或者在防火墙配置例外端口。 您可以参考Windows云服务器怎样关闭防火墙、添加例外端口?或Linu
拒绝策略:对于匹配成功的流量,拒绝流入/流出子网。 云防火墙支持设置允许和拒绝策略。 允许策略:对于匹配成功的流量,允许流入/流出公网、VPC或者云专线。 拒绝策略:对于匹配成功的流量,拒绝流入/流出公网、VPC或者云专线。 规则报文组 支持报文三元组(即协议、端口和源/目的地址)过滤。 支持报文五元组(即协议、
全组规则的工作量。 通过对等连接和第三方防火墙实现多VPC互访流量清洗 介绍通过防火墙软件实现VPC内流量安全管控的需求,首先基于VPC对等连接实现多个VPC网络互通,然后VPC之间互访流量通过防火墙软件过滤清洗。 混合云使用第三方防火墙 本文以用户同区域的多VPC与本地IDC连
VPC网络安全 通过对等连接和第三方防火墙实现多VPC互访流量清洗 通过第三方防火墙实现VPC和云下数据中心互访流量清洗
获取您采用的网关设备的ACL规则。 检查您采用的网关设备与公有云的网关设备是否路由可达。 具体网关设备采用的设备命令不同,请根据您采用的网关设备(Cisco、H3C、AR以及Fortinet设备等),采用对应设备的命令进行排查,获取上述信息。 客户需要协助做的运维操作 客户从公有云的弹性云服务器内向对端设备发起通信请求。
VPC支持审计的关键操作 通过云审计,您可以记录与虚拟私有云相关的操作事件,便于日后的查询、审计和回溯。 云审计支持的虚拟私有云操作列表如表1所示。 表1 云审计服务支持的VPC操作列表 操作名称 资源类型 事件名称 修改Bandwidth bandwidth modifyBandwidth
路由表中支持添加自定义路由的下一跳类型有差异,详情请参见表1和表2。相比自定义路由表,默认路由表支持添加自定义路由的下一跳类型较少,是由于部分服务(比如VPN、云专线、云连接等)会自动在默认路由表中添加路由,无需您手动在默认路由表中添加自定义路由。 表1 默认路由表支持的下一跳类型
网络连接类 VPN支持将两个VPC互连吗? ECS有多个网卡时,为何无法通过域名访问公网网站及云中的内部域名? 同时拥有自定义路由和EIP的ECS访问外网的优先级是什么? 本地主机访问使用弹性云服务器搭建的网站出现间歇性中断怎么办? 同一个子网下的弹性云服务器只能通过内网IP地址单向通信怎么办?
带宽加油包是否支持在有效期内叠加? 在部分区域内,带宽加油包支持在有效期内叠加使用,具体以控制台显示为准。 带宽加油包用来临时调大带宽上限,适用于在有效期内的包年/包月独享带宽和共享带宽。 您可以为同一带宽购买多个带宽加油包,有效期允许重叠。详细信息请参考带宽加油包简介和购买带宽加油包。
路由表中支持添加自定义路由的下一跳类型有差异,详情请参见表1和表2。相比自定义路由表,默认路由表支持添加自定义路由的下一跳类型较少,是由于部分服务(比如VPN、云专线、云连接等)会自动在默认路由表中添加路由,无需您手动在默认路由表中添加自定义路由。 表1 默认路由表支持的下一跳类型
您可以参考以下操作,在一个VPC内的所有路由表之间互相复制路由信息,实现快速添加路由。支持在默认路由表和自定义路由表之间互相复制路由信息。 约束与限制 不同类型的路由是否支持复制的情况不同,具体请参见表1。 例如,当路由下一跳类型为服务器实例时,支持复制该路由到默认路由表或自定义路由表。 例如,当路由下一跳
负载均衡 listener 负载倾听器 physicalConnect 物理专线 virtualInterface 虚拟接口 firewall 防火墙 shareBandwidthIP 单个共享带宽的IP shareBandwidth 共享带宽 address_group 地址组 flow_log
等连接中的“步骤四:配置对等连接两端VPC内实例的安全组规则”中的安全组规则说明进行检查。 检查云服务器网卡的防火墙配置。 需要确认防火墙不会拦截流量,否则需要放通防火墙规则。 检查对等连接连通的子网网络ACL规则是否配置正确。 确认对等连接涉及的子网流量未被网络ACL拦截,否则需要放通对等连接涉及的网络ACL规则。
S、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建
of strings 功能说明:网络ACL唯一标识,填写后接口按照id进行过滤,支持多id同时过滤。 name 否 Array of strings 功能说明:ACL名称,填写后按照名称进行过滤,支持多名称同时过滤。 status 否 String 功能说明:ACL的状态,填写后按照状态进行过滤。
VPC支持的监控指标 功能说明 本节定义了弹性公网IP和带宽上报云监控的监控指标的命名空间,监控指标列表和维度定义,用户可以通过云监控提供的管理控制台或API接口来检索弹性公网IP和带宽产生的监控指标和告警信息。 命名空间 SYS.VPC 监控指标 表1 弹性公网IP和带宽支持的监控指标