检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
相关文档 1 VPC边界防护最佳实践 新增VPC边界防护的最佳实践内容,包括新创建企业路由器和已有企业路由器两个场景。 商用 VPC边界防火墙配置 2022年07月 序号 功能名称 功能描述 阶段 相关文档 1 支持存储日志至LTS 通过授权云日志服务(Log Tank Servic
如下: 规则类型:NAT规则 方向:SNAT 源:选择“IP地址”,配置私网IP。 目的:选择“IP地址”(配置公网IP)或“域名/域名组”。 应用:Any 单击“确认”,完成防护规则配置。 父主题: 通过配置CFW防护规则实现SNAT流量防护
access、-flow为后缀。 选择已创建的日志组和日志流。选择日志组,开启并选择日志流,单击“确定”,完成日志配置。 攻击、访问、流量日志的格式均不一样,需配置不同的日志流分别记录。 攻击日志:记录攻击告警信息,包括攻击事件类型、防护规则、防护动作、五元组、攻击payload等信息。
通过配置防护规则拦截/放行流量 通过添加防护规则拦截/放行流量 示例一:放行入方向中指定IP的访问流量 示例二:拦截某一地区的访问流量 示例三:放行业务访问某平台的流量 示例四:配置SNAT的防护规则 父主题: 配置访问控制策略管控流量
本文介绍如何通过CFW防御漏洞攻击。 应用场景 漏洞往往是攻击者入侵系统的突破口,为攻击者提供了绕过正常安全控制的机会,从而对系统构成威胁。 CFW的IPS规则库配置了针对漏洞攻击的防御规则,能够深入检测网络流量中的恶意行为,并自动阻断潜在的攻击,有效应对各种漏洞攻击。 什么是漏洞攻击 漏洞攻击是指攻击
冻结防火墙 cfw_instance freezeFirewallInstance 更新攻击日志下发配置信息 alarm_config updateAlarmConfig 更新用户的域名服务器配置情况 dns_server updateDnsServer 创建东西向墙 cfw createEastWestFirewall
配置VPC1路由表 配置VPC1路由表 在左侧导航栏中,选择“网络 > 虚拟私有云 > 路由表”,进入“路由表”页面。 在“名称”列,单击VPC1的路由表名称,进入路由表“基本信息”页面。 单击“添加路由”,参数详情见表 添加路由参数说明。 表1 添加路由参数说明 参数 说明 目的地址类型
创建日志配置 功能介绍 创建日志配置 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/cfw/logs/configuration 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID, 可以从调A
获取日志配置 功能介绍 获取日志配置 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/cfw/logs/configuration 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID, 可以从调AP
提升网络安全意识 安装正版操作系统和应用程序,不在非正规网站下载应用程序。 不打开或安装来历不明的邮件、软件等,一些看似正常的邮件和软件,实际可能包含恶意木马程序。 不查看网站上的弹出式广告,这类广告经过精美的包装,是木马程序常用的载体之一。 CFW配置特洛伊木马入侵防御规则
源。 DNS配置:通过域名服务器解析并下发IP地址。 安全报告:生成日志报告,及时掌握资产的安全状况数据。 表2 引擎特性 名称 主要功能描述 支持协议 支持场景 防火墙引擎 用户流量先经过负载均衡组件分发给租户防火墙引擎,进行安全检测与防护后,再将流量送至目标ECS。检测功能丰富,阻断策略灵活。
目的IP地址 在防火墙控制台上使用抓包功能 使用目的以及安全保护措施 向用户展示防火墙识别出的流量明细。 数据通过http上传到告警管理服务器。 明文存储,仅管理员可以访问。 用户在防火墙上进行流量抓包后存储到管理账号的OBS桶中,仅管理员可以访问。 存留期限与存留策略 满7天会自动删除
本文提供放行业务访问某平台的流量的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 放行业务访问某平台的流量 假如您需要放行EIP(xx.xx.xx.48)对“cfw-test.com”和“*.example.com”的访问流量,设置参数如下,其余参数可根据您的部署进行填写。 将平台域名添加至应用型域名组,如图
告警配置管理 获取告警配置信息 修改告警配置接口 父主题: API
本文提供放行入方向中指定IP访问流量的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 单独放行入方向中指定IP的访问流量 配置两条防护规则,一条拦截所有流量,如图 拦截所有流量所示,优先级置于最低,一条单独放行指定IP的流量访问,如图 放行指定IP所示,优先级设置最高,其余参数可根据您的部署进行填写。
示例二:拦截某一地区的访问流量 本文提供拦截某一地区的访问流量的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 拦截某一地区的访问流量 假如您需要拦截所有来源“北京”地区的访问流量,可以参照以下参数设置防护规则。 图1 拦截北京地区的访问流量 父主题: 通过配置防护规则拦截/放行流量
String 更新日志配置返回值,为防火墙id 请求示例 更新项目id为408972e72dcd4c1a9b033e955802a36b的防火墙id为22c4a5db-504c-471f-8187-5192bc11de0b的防火墙的日志配置,lts日志配置为关闭,流日志、访问控制日志、攻击日志设置为关闭。
更新对象配置描述 功能介绍 更新对象配置描述 调用方法 请参见如何调用API。 URI PUT /v1/{project_id}/object-config/desc 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID, 可以从调AP
在左侧导航栏中,选择“流量分析 > 出云流量”,进入“出云流量”页面。 查看经过防火墙的流量统计信息,支持5分钟~7天的数据。 流量看板:内部服务器访问互联网时最大流量的相关信息。 图1 出云流量-流量看板 出云流量:出方向请求流量和响应流量数据,最多支持同时查询30个EIP的流量数据。
配置访问控制策略管控流量 访问控制策略概述 通过配置防护规则拦截/放行流量 通过添加黑白名单拦截/放行流量 通过策略助手查看防护信息 访问控制策略管理 IP地址组管理 域名组管理 服务组管理
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
