检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
将VPC1和VPC-NAT接入企业路由器中 本节指导您如何将VPC1和VPC-NAT接入企业路由器。 将VPC1和VPC-NAT接入企业路由器中 添加VPC连接。 需要添加两条连接,“连接资源”分别选择VPC1和VPC-NAT。 操作步骤请参见企业路由器中添加VPC连接。 创建两个路由表。
修改私网网段地址 如果您存在私用公网(即使用10.0.0.0/8、172.16.0.0/12、192.168.0.0/16以及运营商级NAT保留网段100.64.0.0/10以外的公网网段作为私网地址段)的情况,请您修改私网网段或提交工单进行私网网段扩容,否则云防火墙可能无法正常转发VPC间的流量。
是否支持同时部署WAF、DDoS高防和CFW? 支持,因WAF分为三种模式:独享模式、ELB模式和云模式,不同的模式,流量走势不同,具体如下: 表1 流量走势 WAF模式 流量走势 独享模式/ELB模式 互联网 -> DDoS高防 -> CFW -> WAF(独享模式/ELB模式)->
示例三:放行业务访问某平台的流量 本文提供放行业务访问某平台的流量的配置示例,更多参数配置请参见通过防护规则拦截/放行互联网边界流量。 域名组类型 CFW提供应用域名组(七层协议解析)和网络域名组(四层协议解析)两种类型,两类域名组的差异如表1所示。 表1 域名组类型 - 应用域名组(七层协议解析)
业务流量超过防护带宽怎么办? 如果您的实际业务流量超过已购买的防护带宽流量,可能出现限流、随机丢包、自动Bypass等现象,导致您的部分业务在一定时间内不可用、卡顿、延迟等。 如果出现这种情况,您需要及时根据实际业务情况购买扩展包来提供足够的防护带宽。如果您的业务流量浮动较大,建
图2 VPC与VPC之间 VPC边界流量防护介绍视频 支持的防护对象 虚拟私有云(VPC) 虚拟网关(VGW) 虚拟专用网络(VPN) 全域接入网关(DGW) 防护规格 VPC边界防火墙的防护规格分为防护VPC数和VPC边界防护带宽。 表1 VPC边界防火墙防护规格 防护规格 说明
C中的测试机验证整个业务流是否走通及配置的规则是否有效,再对现网业务进行切流。 使用云防火墙后,避免第一时间配置拦截规则。建议首先验证流量接入防火墙后业务是否正常,逐步增加规则,并及时验证功能,一旦发现有问题,需及时关闭防护,避免现网业务受损。 对于SNAT EIP,外到内无法主
日志中出现了异常拦截,排查方式请参见异常拦截排查。 将日志转储到LTS的操作指导日志管理使用方式。 日志存储方式 功能名称 存储时长 计费方式 接入方式 日志字段说明 日志查询 7天 免费 自动接入 日志查询 日志管理 1~365天 按流量单独计费 需手动对接到LTS服务,具体操作请参见配置日志。 更好的使用LTS日志功能,请参见日志管理使用方式。
会防护所有经过NAT网关的流量,适用于防护粒度较粗的场景。 图1 通过EIP防护NAT网关 创建VPC边界防火墙,借助企业路由器(ER),接入NAT网关所在的VPC与业务VPC之间,能够防护私网IP的流量。 图2 通过VPC防护NAT网关 NAT网关流量防护介绍视频 组网图 SNAT和DNAT的防护组网图如下:
Router,ER)服务引流。 如果您存在私用公网(即使用10.0.0.0/8、172.16.0.0/12、192.168.0.0/16以及运营商级NAT保留网段100.64.0.0/10以外的公网网段作为私网地址段)的情况,请您修改私网网段或提交工单进行私网网段扩容,否则云防火墙可能无法正常转发您VPC间的流量。
Firewall,WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。 有关Web应用防火墙的详细介绍,请参见什么是Web应用防火墙。
通过配置CFW防护规则实现SNAT流量防护 SNAT防护概述 资源和成本规划 将VPC1和VPC-NAT接入企业路由器中 配置NAT网关 配置VPC1路由表 配置NAT防护规则
日志查询 云防火墙支持查询7天内的日志记录,为您提供三类日志: 攻击事件日志:IPS等攻击防御功能检测到的事件记录。 访问控制日志:命中访问控制策略的所有流量。 流量日志:查看通过防火墙的所有流量记录。 将单类或者多类日志记录至LTS中,您可以查看1-365天的日志数据,请参见日志管理。
使用B账号、C账号在企业路由器中添加连接,在A账号的企业路由器中接受连接,并添加关联和传播,在B账号、C账号的VPC中添加路由,则完成防护接入,此时云防火墙中的防护策略将同步防护B账号、C账号下的VPC资源。 图1 跨账号防护方案 图2 操作步骤 资源和成本规划 表1 资源说明 资源
云防火墙防护总览 您可以在总览页面查看防火墙实例的基本信息、整体防护能力、统计信息、流量拓扑可视化信息,随时了解云资产的安全状况以及流量数据。 约束条件 VPC边界防护详情需配置VPC边界防火墙后才能查看。 查看总览 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规
解决方法请参考原因一:非CFW造成的流量中断 2 防护策略阻断流量 解决方法请参考原因二:防护策略阻断流量 3 入侵防御阻断流量 解决方法请参考原因三:入侵防御阻断流量 原因一:非CFW造成的流量中断 登录云防火墙控制台,执行以下步骤: 关闭防护。 EIP流量故障:关闭CFW对业务中断的EIP的防护,请参见关闭EIP防护。
到计费系统进行结算。 按需计费模式的资源按照固定周期上报使用量到计费系统进行结算。按需计费模式根据使用量类型的不同,分为按小时、按天、按月三种周期进行结算,具体扣费规则可以参考按需产品周期结算说明。云防火墙的按需计费模式按小时进行结算。 按需计费资源的扣费时间可能会滞后于结算周期
责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任,如图1所示。
成本完成安全整改,轻松满足等保二级合规要求。 WAF、CFW、HSS、SCM、SA、MTD 等保三级解决方案 该解决方案依托华为云自身安全能力与安全合规生态,为用户提供一站式的等保三级安全解决方案 WAF、HSS、SCM、SA、MTD、CFW、CBH、DBS、CodeArts Inspector
服务韧性 华为云数据中心按规则部署在全球各地,所有数据中心都处于正常运营状态,无一闲置。数据中心互为灾备中心,如一地出现故障,系统在满足合规政策前提下自动将客户应用和数据转离受影响区域,保证业务的连续性。为了减少由硬件故障、自然灾害或其它灾难带来的服务中断,华为云为所有数据中心提供灾难恢复计划。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
您即将访问非华为云网站,请注意账号财产安全
