检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
父主题: 通过配置CFW防护规则实现SNAT流量防护
调整防护规则的优先级 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
创建黑白名单规则 功能介绍 创建黑白名单规则 调用方法 请参见如何调用API。
删除黑白名单规则 功能介绍 删除黑白名单规则 调用方法 请参见如何调用API。
通过配置防护规则拦截/放行流量 通过添加防护规则拦截/放行流量 示例一:放行入方向中指定IP的访问流量 示例二:拦截某一地区的访问流量 示例三:放行业务访问某平台的流量 示例四:配置SNAT的防护规则 父主题: 配置访问控制策略管控流量
进入云防火墙管理控制台,查看防护规则的命中次数和日志记录,如果有新增,说明规则生效,如果无新增,请及时修改防护规则。 在“访问控制 > 访问策略管理”的“防护规则”页签中,查看规则的“命中次数”。 在“日志审计 > 日志查询”的“访问控制日志”页签中,查看该规则的防护记录。
父主题: 通过配置CFW防护规则实现SNAT流量防护
IPS支持观察模式和阻断模式,当您选择阻断模式时,云防火墙根据IPS规则检测出符合攻击特征的流量进行阻断。具体配置步骤请参考配置访问控制策略。 父主题: 产品咨询
云防火墙的防护顺序是什么? 云防火墙匹配防护规则的优先级由高到低为:白名单 -> 黑名单 -> 防护策略(ACL)-> 基础防御(IPS)= 病毒防御(AV)。 图1 防护顺序 设置黑/白名单请参见管理黑/白名单。 添加防护规则请参见添加防护规则。
云防火墙与Web应用防火墙有什么区别? 云防火墙和Web应用防火墙是华为云推出的两款不同的产品,为您的互联网边界和VPC边界、Web服务提供防护。 WAF和CFW的主要区别说明如表1所示。
如果确认拦截的为正常业务流量,您可按照以下两种方式处理: 查询拦截该业务流量的规则ID,并在IPS规则库中修改对应规则的防护动作,操作步骤请参见查询命中规则及修改防护动作。 降低IPS防护模式的拦截程度,IPS防护模式说明请参见配置入侵防御策略。
父主题: 通过配置CFW防护规则实现SNAT流量防护
CFW最佳实践汇总 本文汇总了云防火墙(CFW)服务的常见应用场景,并提供详细的方案描述和操作指导,帮助您轻松防护云上业务。
示例三:放行业务访问某平台的流量 本文提供放行业务访问某平台的流量的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。
云防火墙支持企业管理,您可以将云防火墙上的资源按照企业项目进行管理,并设置每个企业项目的用户权限。 与Web应用防火墙的主要区别 云防火墙和Web应用防火墙是华为云推出的两款不同的产品,为您的互联网边界和VPC边界、Web服务提供防护。 CFW和WAF的主要区别说明如表1所示。
图1 拦截北京地区的访问流量 父主题: 通过配置防护规则拦截/放行流量
虚拟补丁规则库:在网络层级为IPS提供热补丁,实时拦截高危漏洞的远程攻击行为,同时避免修复漏洞时造成业务中断。 虚拟补丁规则库中展示新增的IPS规则;防火墙新增IPS规则时,会先进入虚拟补丁规则库中,防护一段时间后合入IPS规则库中。
图1 拦截所有流量 图2 放行指定IP 父主题: 通过配置防护规则拦截/放行流量
对于反向代理IP(如内容分发网络(CDN)、DDoS高防、Web应用防火墙(WAF)的回源IP),请谨慎配置阻断策略,建议配置放行的防护规则或白名单。 对于正向代理IP(如公司出口IP),影响范围较大,请谨慎配置阻断策略。 配置“地域”防护时,需考虑公网IP可能更换地址的情况。
在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 在左侧导航栏中,选择“访问控制 > 策略助手”,进入“策略助手”页面。 查看防火墙实例下防护规则的统计信息。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
