检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
当您配置入侵防御和访问控制策略后,可以根据业务场景使用CFW提供的一系列常用实践。 表1 常用实践 实践 描述 仅放行云内资源对指定域名的访问流量 介绍如何快速放行云内资源对某个域名的访问流量,适用于业务仅需要访问指定域名时的场景。 使用CFW防御网络攻击 介绍如何使用CFW防护各类网络攻击,适用为云上业务拦截网络攻击的场景。
通过查询服务成员列表接口查询获得,通过返回值中的data.records.item_id(.表示各对象之间层级的区分)获得。域名id可通过获取域名组下域名列表接口查询获得,通过返回值中的data.records.domain_address_id(.表示各对象之间层级的区分)获得。
long_connect_time Long 长连接时长 long_connect_enable Integer 长连接支持 long_connect_time_hour Long 长连接时长对应小时 long_connect_time_minute Long 长连接时长对应分钟 long_connect_time_second
接放行)。 阻断的是防护规则: 在访问控制规则列表中搜索相关IP/域名的阻断策略,将阻断该IP/域名策略停用。 修改对应的阻断策略的匹配条件,移除该IP/域名信息。 添加一条“动作”为“放行”用于放通该IP/域名的防护规则,优先级高于其它“阻断”规则,添加防护规则请参见添加防护规则。
访问控制策略概述 通过配置防护规则拦截/放行流量 通过添加黑白名单拦截/放行流量 通过策略助手查看防护信息 访问控制策略管理 IP地址组管理 域名组管理 服务组管理
非洲-约翰内斯堡 非洲-开罗 土耳其-伊斯坦布尔 拉美-墨西哥城二 拉美-圣保罗一 拉美-圣地亚哥 中东-利雅得 管理服务组 域名组 域名组是多个域名或泛域名的集合。通过使用域名组,可帮助您有效应对需要重复多次编辑访问规则的场景,并且方便管理这些访问规则。 支持区域: 华北-北京四 华东-上海一
云防火墙提供的防护带宽是多少? 业务流量超过防护带宽怎么办? 流量趋势模块和流量分析页面展示的流量有什么区别? 如何验证HTTP/HTTPS的出方向域名防护规则的有效性? 如何获取攻击者的真实IP地址? 收到流量超限预警如何处理?
设置关联功能,添加VPC1和VPC-NAT的连接:在路由表设置页面,选择关联路由表,单击“关联”页签,单击“创建关联”,参数详情见表 创建关联参数说明。 表2 创建关联参数说明 参数名称 参数说明 连接类型 选择连接类型“虚拟私有云(VPC)”。 连接 在连接下拉列表中,选择VPC连接。 关联需要增加两条
SNAT场景 弹性云服务器 子网 功能特性 支持五元组(即源IP地址、目的IP地址、协议、源端口、目的端口)过滤。 支持通过地理位置、域名、域名组、黑/白名单过滤。 支持入侵防御系统(IPS)、病毒防御(AV)功能。 支持三元组(即协议、端口和对端地址)过滤。 支持五元组(即源I
000Mbps) 1 Gbps VPC边界防护带宽 × × 200Mbps(随VPC数量扩容) 访问流量控制 公网资产ACL访问控制(基于IP、域名、域名组、地理位置等) √(仅支持通过Host或SNI字段匹配策略) √ √ √ 南北向流量防护,统一隔离防护云上资产在互联网的暴露风险(例如EIP)
开启EIP防护 配置防护策略 云防火墙默认放行所有流量,您需要配置防护策略实现流量防护。 提供以下防护策略: 防护规则:按照IP地址、IP地址组、地域、域名等维度设置特定的规则管控流量。 黑/白名单:按照IP地址、IP地址组设置特定的规则管控流量,匹配到白名单的流量会直接放行,不再经过其他功能的检测。
单击“配置企业路由器”,进入“企业路由器”页面,在企业路由器中添加连接,支持添加的连接类型请参见连接概述。 下文以防护两个VPC为例(至少需要添加两条VPC连接,用于连接两个VPC和ER之间)。操作步骤请参见企业路由器中添加VPC连接。 连接至少需要添加三条,例如:对防火墙连接命名为cfw-er-auto(创建
freezeFirewallInstance 更新攻击日志下发配置信息 alarm_config updateAlarmConfig 更新用户的域名服务器配置情况 dns_server updateDnsServer 创建东西向墙 cfw createEastWestFirewall 东西向墙开启防护
提供防火墙实例基本信息、资源防护总览、统计信息等内容。 资产管理 管理、查看弹性公网IP和VPC的相关数据及信息。 访问控制 支持基于IP、域名、地域等方式对互联网边界和VPC边界流量进行访问控制。 支持通过“策略助手”快速查看防护规则的命中情况,及时调整防护规则。 攻击防御 入侵
视化呈现,大幅提高管理和防护效率。 支持的访问控制策略 基于五元组的访问控制。即源IP地址、目的IP地址、协议号、源端口、目的端口。 基于域名的访问控制。 基于IPS(intrusion prevention system,入侵防御系统)设置访问控制。IPS支持观察模式和阻断模式
基于会话统计数据,流量在会话结束的瞬间时刻统计。 在“日志审计 > 日志查询 > 流量日志”页面查看;数据信息是会话创建到结束期间的整体流量;在会话连接期间,数据不会上报,连接结束后才会上报。 在“流量分析”下的任意页面查看;数据信息是流量日志中在该时间结束会话的流字节数的平均值。 父主题: 网络流量
约束条件 日志存储时长最多支持7天。 单类日志最多支持查看1000条数据,导出100,000条记录。 流量日志基于会话统计,在连接期间,数据不会上报,须连接结束后才会上报。 基础版仅支持查看访问控制日志和流量日志。 查看日志 参考以下操作查看日志。 攻击事件日志 登录管理控制台。 单击管理控制台左上角的,选择区域。
CFW与WAF、DDoS高防、CDN同时使用的配置建议 配置访问控制策略 仅放行互联网对指定端口的访问流量 拦截海外地区的访问流量 仅放行云内资源对指定域名的访问流量 通过配置CFW防护规则实现两个VPC间流量防护 通过配置CFW防护规则实现SNAT流量防护 配置入侵防御 使用CFW防御访问控制攻击
有关Web应用防火墙的详细介绍,请参见什么是Web应用防火墙。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP,华为云、非华为云或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御:对已开放公网访问的服务资产进行安全盘点,进行实时入侵检测与防御。
目的:Any 服务:Any 应用:Any 动作:阻断 图1 拦截所有流量 一条放行EIP(xx.xx.xx.1) 80端口的流量,如图 放行域名的访问流量所示,优先级设置最高。 方向:外-内 源:Any 目的:选择“IP地址”,填写xx.xx.xx.1。 服务:TCP/1-65535/80
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
