检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
单击右上角的“添加”,新增客户端IP解析规则。如图 新增客户端IP解析规则。详细参数说明请参考表 新增客户端IP解析规则。 图1 新增客户端IP解析规则 表1 新增客户端IP解析规则 参数 说明 应用名称 选择解析规则适用的应用资产。
解绑弹性公网IP 当实例需要重新绑定EIP或者释放EIP时,需要为该实例解绑EIP。当实例成功解绑EIP后,则无法再通过该EIP登录API数据安全防护实例。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 数据安全中心”。
弹性IP “实例布局”为“云上”时需要配置该参数: 单击下拉框选择已申请的弹性IP,如果没有可选的弹性IP,请单击“购买弹性IP”前往网络控制台申请,详情请参见绑定弹性公网IP。 主节点IP “实例布局”为“云下”时需要配置该参数。 输入主节点IP地址。
系统支持从应用、账号、客户端IP等维度配置白名单。 配置白名单策略后,针对命中白名单策略的访问会放行。 例如,对于应用demo,来自客户端IP172.xx.xx.28为受信任的IP,来自客户端IP172.xx.xx.28的访问均可放行。
可选类型包括不配置地址 、IPv4、IPv6、IPv4&IPv6 IPv4:需要配置IPv4地址、子网掩码、网关和DNS IPv6:需要配置IPv6地址、子网掩码、网关和DNS IPv4&IPv6:需要配置IPv4和IPv6的IP地址、子网掩码、网关和DNS 单击“设置DNS”,设置主域名系统与备用域名系统信息
系统支持从应用、账号、客户端IP等维度配置黑名单。配置黑名单后,命中黑名单的访问会被直接阻断,且命中黑名单的审计日志风险等级会标记为“非法”。 例如,对于应用demo,客户端IP172.xx.xx.28为不受信任的IP,您可以添加黑名单阻断来自这个IP的所有访问。
操作结果 添加完成并启用后,以同一客户端IP高频访问应用触发该规则,将被告警或阻断。 相关操作 在“风险防护”页面,您还可以进行以下管理操作: 放行被阻断的IP:单击目标规则右侧的“放行”,可放行触发风险防护规则而被拒绝访问的IP。 后续如果IP再次触发该规则,仍会被阻断。
选择外部IP:单击下拉框选择外部IP。 选择敏感等级:单击下拉框选择敏感等级。 选择敏感标签:单击下拉框选择敏感标签。 父主题: 数据安全运营
查看高可用信息 若系统采用高可用部署,您可以在“系统管理 > 高可用管理”页面查看高可用信息,包括主备机IP与VIP、主备机的运行时间以及各项指标的状态。
区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。
检查数据库对应IP子网的可用IP数是否为0。 由于DSC服务需要对数据库进行网络打通,至少需要一个可用IP数。如果数据库对应IP子网的可用IP数为0,则需要在对应数据库服务中添加可用IP。 父主题: 资产授权类
添加水印规则 系统支持从应用、URL、客户端IP、账号、账号组等维度配置水印规则,对访问行为进行精准鉴权与水印防护。您可在水印管理模块配置水印规则。 前提条件 确保您已添加应用,具体请参见应用服务。 已配置水印模板,具体请参见配置水印模板。
添加基础访问控制规则 操作场景 系统支持从应用、接口、Host、用户、客户端IP等维度配置基础访问控制规则,对命中规则的请求实行放行或阻断动作。 例如,应用Demo拥有文件下载接口,您可以添加基础访问控制规则阻断访问应用Demo的文件下载接口的请求。
添加脱敏规则 操作场景 系统支持从应用、URL、客户端IP、账号、账号组等维度配置脱敏规则,对访问行为进行精准鉴权与脱敏防护,您可在脱敏管理模块配置脱敏规则。 例如,您想要对应用demo配置一条脱敏规则,使访问demo应用时,银行卡号类的敏感数据脱敏展示。
图1 反向代理组网 表1 组网说明 设备 说明 客户端PC IP地址:172.16.212.65 API数据安全防护 IP地址:172.16.35.44 应用服务器 IP地址:172.16.35.53 配置水印模板 在配置自定义水印规则前,需要配置水印模板,便于在配置水印规则时引用
已开通DLI、CSS服务,且DLI、CSS中已有资产,且对应子网下含有可用的IP配额。 已获取自建ES、HBase以及Hive数据源的版本、主机、索引等相关信息,且自建ES、HBase以及Hive数据源子网下含有可用的IP配额。
方式二:通过方式一进入的API数据安全防护页面获取“弹性IP”,在浏览器地址栏中输入访问地址,按回车键,进入登录界面。访问地址:https://服务器弹性IP地址:端口,例如https://172.xx.xx.44:8441。 (可选)在安全告警页面,单击“高级”。
图1 网络访问安全设置 表1 参数说明 参数 说明 登录IP限制 可选项包括接受所有IP与限制IP。 接受所有IP:所有IP均可登录系统。 限制IP:需要设置允许登录IP地址,允许登录IP 地址内的可以登录系统,其他IP不可以登录。
如果填写域名,需要修改域名和IP的映射关系,使该域名解析到API数据安全防护的IP。正常情况下修改DNS中域名与IP的映射关系;没有DNS时或者测试时,可以通过修改客户端的hosts文件,使域名解析到API数据安全防护的IP。
如果填写域名,需要修改域名和IP的映射关系,使该域名解析到API数据安全防护的IP。正常情况下修改DNS中域名与IP的映射关系;没有DNS时或者测试时,可以通过修改客户端的hosts文件,使域名解析到API数据安全防护的IP。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
