检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
云防火墙通过对弹性公网IP的防护实现互联网边界流量的防护。 与虚拟私有云的关系 虚拟私有云(Virtual Private Cloud,VPC)是您在云上的私有网络,为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。 云防火墙支持防护VPC边界的流量,例如VPC与VPC之间、云上VPC与云下IDC之间。
80端口的流量,如图 放行域名的访问流量所示,优先级设置最高。 方向:外-内 源:Any 目的:选择“IP地址”,填写xx.xx.xx.1。 服务:TCP/1-65535/80 应用:Any 动作:放行 图2 放行xx.xx.xx.1 80端口的访问流量 通过访问控制日志查看命中详情。 在左侧导航栏中,选择“日志审计
放行域名的访问流量所示,优先级设置最高。 方向:内-外 源:Any 目的:选择“域名/域名组”、“应用型”、“域名”,填写*.example.com。 服务:TCP/1-65535/1-65535 应用:HTTP、HTTPS 动作:放行 图2 放行域名的访问流量 通过访问控制日志查看命中详情。 在左侧导航栏中,选择“日志审计
最新动态 本文介绍了云防火墙(CFW)各特性版本的功能发布和对应的文档动态,欢迎体验。 2022年08月 序号 功能名称 功能描述 阶段 相关文档 1 VPC边界防护最佳实践 新增VPC边界防护的最佳实践内容,包括新创建企业路由器和已有企业路由器两个场景。 商用 VPC边界防火墙配置
freezeFirewallInstance 更新攻击日志下发配置信息 alarm_config updateAlarmConfig 更新用户的域名服务器配置情况 dns_server updateDnsServer 创建东西向墙 cfw createEastWestFirewall 东西向墙开启防护
protocol Integer 协议类型:TCP为6,UDP为17,ICMP为1,ICMPV6为58,ANY为-1,手动类型不为空,自动类型为空 protocols Array of integers 协议列表,协议类型:TCP为6,UDP为17,ICMP为1,ICMPV6为58,ANY为-1
从而蒙受巨大的经济损失。 信息泄露:攻击者可以通过漏洞获取用户的通讯录、聊天记录等敏感信息,侵犯个人隐私。 网络破坏:当黑客成功攻击一台服务器后,可能会将其变成“傀儡机”,用于对其他主机发起攻击,扩大攻击范围。 恶意软件传播:攻击者可能利用漏洞在受害者的系统中植入恶意软件,如病毒、木马等,进一步破坏系统安全。
在左侧导航栏中,选择“流量分析 > 出云流量”,进入“出云流量”页面。 查看经过防火墙的流量统计信息,支持5分钟~7天的数据。 流量看板:内部服务器访问互联网时最大流量的相关信息。 图1 出云流量-流量看板 出云流量:出方向请求流量和响应流量数据,最多支持同时查询30个EIP的流量数据。
bd347-b655-4b84-b938-3c54317599b2的白名单为方向为源地址,地址为1.1.1.1,协议类型为tcp,端口为1的ipv4的tcp https://{Endpoint}/v1/9d80d070b6d44942af73c9c3d38e0429/black-
拉美-墨西哥城二 拉美-圣保罗一 拉美-圣地亚哥 中东-利雅得 开启NAT网关流量防护 访问控制策略 配置合适的访问控制策略能有效地帮助您对内部服务器与外网之间的流量进行精细化管控,防止内部威胁扩散,增加安全战略纵深。 支持区域: 华北-北京四 华东-上海一 华东-上海二 华东-青岛 华东二
当前规则的防护类型,支持EIP规则和NAT规则。 方向 防护规则的流量方向。 源 访问流量中的会话发起方。 目的 访问流量中的会话接收方。 服务 协议类型当前支持:TCP、UDP、ICMP、Any。 源端口:当前开放或限制的源端口号。支持单个端口,或者连续端口组,中间使用“-”隔开,如:80-443。 目的端口:当前开放或限制的目的端口号。
添加SNAT规则所示。 表6 添加SNAT规则 参数名称 参数说明 使用场景 SNAT规则使用的场景,选择“虚拟私有云”。 网段 选择“自定义”子网,使云服务器通过SNAT方式访问公网 自定义:自定义一个网段或者填写某个VPC的地址。 弹性公网IP 用来提供互联网访问的公网IP。 这里只能选择没
Integer ip地址类型 0:ipv4,1:ipv6 address 是 String ip地址 protocol 是 Integer 协议类型:TCP为6,UDP为17,ICMP为1,ICMPV6为58,ANY为-1,手动类型不为空,自动类型为空 port 是 String 目的端口 description
选择“源地址”或“目的地址”。 源地址:设置会话发起方。 目的地址:设置会话接收方。 协议类型 协议类型当前支持:TCP、UDP、ICMP、Any。 端口 “协议类型”选择“TCP”或“UDP”时,设置需要放行或拦截的端口。 说明: 如您需设置该IP地址的全部端口,可配置“端口”为“1-65535”。
通过配置CFW防护规则实现两个VPC间流量防护 通过配置CFW防护规则实现SNAT流量防护 配置入侵防御 使用CFW防御访问控制攻击 使用CFW防御黑客工具 使用CFW防御可疑DNS活动 使用CFW防御特洛伊木马 使用CFW防御漏洞攻击 使用CFW防御蠕虫病毒 企业项目管理 使用CFW防护企业资源
添加规则类型不一致 请确保添加规则类型一致 400 CFW.00400010 长连接不支持的协议 长连接不支持的协议 请确保规则协议属于TCP/UDP 更新ACL规则 400 CFW.00200005 请求中携带的地址组id不存在 请求中携带的地址组id不存在 请检查请求中携带的地址组id是否正确
为了防御访问控制攻击,除了从访问控制策略设计、身份验证、安全审计和监控、安全配置和补丁管理、访问控制漏洞防御、安全培训和意识提升以及使用安全技术和工具等方面入手外,您可以使用CFW入侵防御功能,拦截访问控制攻击。 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规
(可选)默认存储日志的时间为7天,存储时间可以在1~365天之间进行设置。 更改日志存储时长 日志搜索与分析 (可选)通过合理的日志收集、高效的搜索方法和专业的分析工具,实现对系统或应用的全面监控和精细化管理。 请参见日志搜索与分析 日志可视化 (可选)将日志数据按照图表类型呈现。 请参见日志可视化 配置告警规则
户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮
审计与日志 日志审计是保证云防火墙可靠性、可用性和性能的重要组成部分。用户可以汇总华为云服务的操作日志并进行分析、审计、资源监控和问题定位。 CFW已对接云审计服务(Cloud Trace Service, CTS)。华为云云审计服务提供对各种云资源操作记录的收集、存储和查询功能
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
