检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
的流量信息。 外联IP:目的IP的流量信息。 图4 外联IP 外联域名:域名信息。 图5 外联域名 公网外联资产:源IP为公网IP的流量信息。 图6 公网外联资产 私网外联资产:源IP为私网IP的流量信息。 图7 私网外联资产 私网IP信息仅配置了VPC边界防护的专业版防火墙可见。 父主题:
问源的IP地址都将与内置的IP地址库进行比对,识别一致后,CFW将进行拦截操作。 通过CFW拦截海外地区的访问流量 购买云防火墙标准版或专业版,请参见购买云防火墙。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
验证流量流通后,需配置防护规则,云防火墙才会实施放行/拦截操作。 配置NAT防护规则 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 在左侧导航栏中,选择“访问控制
开启私网IP流量防护请参见开启NAT网关流量防护。 如何防御网络攻击和病毒文件 提供以下几种方式: 入侵防御(IPS):结合多年攻防积累的经验规则,针对访问流量进行检测与防护,覆盖多种常见的网络攻击,有效保护您的资产。 IPS提供四种防护模式,如需调整防护模式请参见调整IPS防护模式拦截网络攻击。
所有公网地址访问EIP(xx.xx.xx.1)的80端口。 通过CFW放行互联网对指定端口的访问流量 购买云防火墙标准版或专业版,请参见购买云防火墙。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
云防火墙如何收费和计费? 云防火墙支持包年/包月(预付费)和按需计费(后付费)两种计费方式,详细信息请参见产品价格详情。 其中基础版不支持扩容,标准版支持扩容防护公网IP数和互联网边界流量峰值。 专业版支持扩容防护公网IP数、互联网边界流量峰值和防护VPC数。 有关CFW详细的计费说明,请参见计费说明。
SNAT防护概述 背景信息 云防火墙标准版实现公网IP之间的防护,例如通过NAT网关实现多个VPC/子网使用公网IP对外发起访问的场景,云防火墙专业版提供更细粒度的访问控制,例如使用私网IP对公网发起访问的场景。 本文介绍如何配置云防火墙专业版实现SNAT场景下私网IP对公网发起访问的防护。
地址组被规则引用次数 description String 描述信息 address_type Integer 地址类型0 ipv4,1 ipv6 object_id String 防护对象id,是创建云防火墙后用于区分互联网边界防护和VPC边界防护的标志id,可通过调用查询防火墙实例接口获得,通过返回值中的data
访问控制策略管理 导入/导出防护策略 调整防护规则的优先级 管理防护规则 管理黑白名单 管理时间计划 父主题: 配置访问控制策略管控流量
防护带宽:所有经过云防火墙防护的业务带宽。 互联网边界防护带宽:所有经过云防火墙防护的EIP的流量总和最大值,按照入云流量(入流量)或出云流量(出流量)的最大值取值。 VPC边界防护带宽:所有经过云防火墙防护的VPC的流量总和最大值。 互联网边界防火墙 互联网边界防火墙用于检测云资产与
> 云防火墙”,进入云防火墙的总览页面。 (可选)切换或查看防火墙实例: 切换防火墙实例:在页面左上角的下拉框中切换防火墙。 图1 切换防火墙实例 查看防火墙实例信息:单击右上角“防火墙列表”,参数说明请参见表 防火墙实例信息。 图2 查看防火墙实例信息 表1 防火墙实例信息 参数名称
行审计。 高 云防火墙提供日志审计功能,可以记录所有流量日志、事件日志和操作日志。 日志审计功能 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其它与审计相关的信息。 中 云防火墙提供日志记录事件功能,包括:时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。
服务器进行IP解析并下发。 当前账号拥有多个防火墙时,DNS解析操作仅应用于设置的防火墙。 约束条件 最多支持自定义2个DNS服务器。 DNS服务器配置 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。
虚拟补丁规则库:在网络层级为IPS提供热补丁,实时拦截高危漏洞的远程攻击行为,同时避免修复漏洞时造成业务中断。 虚拟补丁规则库中展示新增的IPS规则;防火墙新增IPS规则时,会先进入虚拟补丁规则库中,防护一段时间后合入IPS规则库中。 自定义IPS特征:当IPS规则库不满足使用时,C
日志字段说明 本节介绍对接到LTS的日志字段。 攻击事件日志 字段 类型 描述 src_ip string 源IP地址。 src_port string 源端口号。 dst_ip string 目的IP地址。 dst_port string 目的端口号。 protocol string
在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 在“防火墙详情”中,单击“已使用/可防护EIP数”、“已使用/可防护VPC数”、“互联网边界防护带宽”右侧的“变更”,进入“变更云防火墙规格”页面。 变更扩展包数量。 默认不支持将扩展包数量
地址类型,0 ipv4,1 ipv6 domain_set_id 是 String 域名组ID,可通过查询域名组列表接口查询获得,通过返回值中的data.records.set_id(.表示各对象之间层级的区分)获取 fw_instance_id 是 String 防火墙ID,可通过防火墙ID获取方式获取
云防火墙支持防护其它企业项目下的资源吗? 支持,CFW支持防护当前区域、当前账号下所有的云资源(EIP、VPC、NAT网关)。 开通企业管理功能,并在购买CFW时选择了企业项目,CFW的账单会归属到该项目下,不影响资源防护。 企业通过企业项目管理业务时如何规划云防火墙的方案示例请参见使用CFW防护企业资源。
如何识别关联路由表:关联路由表用于将流量从VPC传输到云防火墙,即当前配置如下: 关联页签(多条关联的连接): 连接类型:虚拟私有云(VPC) 连接:A账号下多个VPC的连接。 路由页签的关键参数: 连接类型:云防火墙(CFW) 下一跳:防火墙连接(cfw-er-auto-attach)
地址组类型,0表示自定义地址组,1表示WAF回源IP地址组,2表示DDoS回源IP地址组,3表示NAT64转换地址组 表8 IpRegionDto 参数 参数类型 描述 region_id String 区域id,可通过获取账号、IAM用户、项目、用户组、区域、委托的名称和ID获取。 description_cn
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
