检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
DNS服务器配置 选择默认DNS服务器或者添加DNS服务器地址,域名防护策略将会按照您配置的域名服务器进行IP解析并下发。 当前账号拥有多个防火墙时,DNS解析操作仅应用于设置的防火墙。 约束条件 最多支持自定义2个DNS服务器。 DNS服务器配置 登录管理控制台。 单击管理控制台左上角的,选择区域。
更新项目id为2349ba469daf4b7daf268bb0261d18b0的dns解析器的设置,服务器ip为8.8.8.8,默认服务器,更新为使用,服务器ip为192.168.0.2,非默认服务器,更新为非使用 https://{Endpoint}/v1/2349ba469daf4b7
DnsServersResponseDTO objects dns服务器列表 total Integer dns服务器总数 表5 DnsServersResponseDTO 参数 参数类型 描述 id Integer 域名服务器id is_applied Integer 域名服务器是否应用,0否 1是 is_customized
云防火墙支持线下服务器吗? 不支持,云防火墙支持云上region级服务。 父主题: 产品咨询
SNAT规则使用的场景,选择“虚拟私有云”。 网段 选择“自定义”子网,使云服务器通过SNAT方式访问公网 自定义:自定义一个网段或者填写某个VPC的地址。 说明: 支持配置0.0.0.0/0的地址段,在多段地址配置时更方便。 可以配置32位主机地址,NAT网关只针对此地址起作用。 弹性公网IP
可能相同,连接配置不支持修改和删除。 您也可以手动在路由表中配置连接的静态路由,同一个路由表中,静态路由的目的地址不允许重复,连接配置支持修改和删除。 如果路由表中存在多条路由目的地址相同,则优先级:静态路由 > 传播路由。 配置验证方法 前提条件 已完成全部配置步骤。 两个VPC中各有一台ECS。
流量日志加入-attack、-access、-flow为后缀。 选择已创建的日志组和日志流。单击“确定”,完成日志配置。 攻击、访问、流量日志的格式均不一样,需配置不同的日志流分别记录。 攻击日志:记录攻击告警信息,包括攻击事件类型、防护规则、防护动作、五元组、攻击payload等信息。
创建日志配置 功能介绍 创建日志配置 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/cfw/logs/configuration 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID, 可以从调A
获取日志配置 功能介绍 获取日志配置 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/cfw/logs/configuration 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID, 可以从调AP
示例四:配置SNAT的防护规则 本文提供SNAT防护的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 SNAT防护配置 假如您的私网IP为“10.1.1.2”, 通过NAT网关访问的外部域名为“www.example.com”,您可以参照以下参数配置NAT防护,其余参数可根据您的部署进行填写:
String 更新日志配置返回值,为防火墙id 请求示例 更新项目id为408972e72dcd4c1a9b033e955802a36b的防火墙id为22c4a5db-504c-471f-8187-5192bc11de0b的防火墙的日志配置,lts日志配置为关闭,流日志、访问控制日志、攻击日志设置为关闭。
信息: 规则类型:NAT规则 方向:SNAT 源:选择“IP地址”,配置私网IP。 目的:选择“IP地址”(配置公网IP)或“域名/域名组”。 应用:Any 单击“确认”,完成防护规则配置。 父主题: 通过配置CFW防护规则实现SNAT流量防护
防护。 配置阻断策略时注意事项 配置阻断IP的防护规则或黑名单时需注意以下几点: 建议优先配置精准的IP(如192.168.10.5),减少网段配置,避免误拦截。 对于反向代理IP(如内容分发网络(CDN)、DDoS高防、Web应用防火墙(WAF)的回源IP),请谨慎配置阻断策略,建议配置放行的防护规则或白名单。
本文提供放行入方向中指定IP访问流量的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 单独放行入方向中指定IP的访问流量 配置两条防护规则,一条拦截所有流量,如图 拦截所有流量所示,优先级置于最低,一条单独放行指定IP的流量访问,如图 放行指定IP所示,优先级设置最高,其余参数可根据您的部署进行填写。
本文提供放行业务访问某平台的流量的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 放行业务访问某平台的流量 假如您需要放行EIP(xx.xx.xx.48)对“cfw-test.com”和“*.example.com”的80端口和443端口的访问流量,设置参数如下,其余参数可根据您的部署进行填写。
查看预定义服务组 云防火墙为您提供预定义服务组,包括“常用Web服务”、“常用数据库”和“常用远程登录和ping”,适用于防护Web、数据库和服务器。 预定义服务组仅支持查看,不支持添加、修改、删除操作。 查看预定义服务组 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规
防护域名时不支持添加中文域名格式。 域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全,建议有访问自身业务相关域名场景时配置自定义域名服务器。 仅入方向规则(“方向”配置为“外-内”)的“源”地址支持配置“预定义地址组”。 开启NAT64防护后,使用IPv6访问时,请注意将198
配置VPC1路由表 操作步骤 在左侧导航栏中,选择“网络 > 虚拟私有云 > 路由表”,进入“路由表”页面。 在“名称”列,单击VPC1的路由表名称,进入路由表“基本信息”页面。 单击“添加路由”,参数详情见表 添加路由参数说明。 表1 添加路由参数说明 参数 说明 目的地址类型
CFW与WAF、DDoS高防、CDN同时使用的配置建议 本文介绍入云流量防护时云防火墙在网络架构中的位置,以及与其他华为云服务一起使用时,云防火墙上的策略配置和注意事项。 概述 Web应用防火墙(WAF)、DDoS高防(Advanced Anti-DDoS)、内容分发网络(CDN)会对用户的流量进行反向代理,部署后,C
通过配置防护规则拦截/放行流量 通过添加防护规则拦截/放行流量 示例一:放行入方向中指定IP的访问流量 示例二:拦截某一地区的访问流量 示例三:放行业务访问某平台的流量 示例四:配置SNAT的防护规则 父主题: 配置访问控制策略管控流量
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
