检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Eip所在账户企业项目id device_id String EIP绑定设备(如ecs,nat)id device_name String EIP绑定设备(如ecs,nat)名称 device_owner String EIP绑定设备(如ecs,nat)拥有者 associate_instance_type
地址组描述:业务A 地址组地址类型:IPv4 地址组成员 IP地址:10.1.1.2;描述:ECS1 IP地址:10.1.1.3;描述:ECS2 IP地址:10.1.1.4;描述:ECS3 域名组信息表: 域名组名称:域名组1 域名组类型:URL过滤 域名组描述:业务A对外访问域名
云防火墙是否支持跨云或跨区域使用? 云防火墙支持哪些区域? 云防火墙及各功能支持的区域请参见功能总览。 云防火墙是否支持跨区域使用? 云防火墙不支持跨区域使用。选择区域后,购买的云防火墙仅支持当前区域使用。 如您选择的区域提示无法购买CFW,您可通过VPC的网络ACL+VPC的安全组的方式进行防护。
多账号防护 云防火墙服务具备安全可靠的跨账号数据汇聚和资源访问能力,如果您的账号由组织管理,您可以对组织内所有成员账号的EIP进行统一的资产防护。 约束限制 单个防火墙实例支持防护的账号个数如下: 包年/包月防火墙: 基础版:不支持多账号管理功能 标准版:20个 专业版:50个 按需计费防火墙(专业版):20个
获取账号、IAM用户、项目、用户组、区域、委托的名称和ID 获取账号、IAM用户、项目的名称和ID 从控制台获取账号名、账号ID、用户名、用户ID、项目名称、项目ID 在华为云首页右上角,单击“控制台”。 在右上角的用户名中选择“我的凭证”。 图1 进入我的凭证 在“我的凭证”界
模式,以满足不同场景下的用户需求。包年/包月是一种预付费模式,即先付费再使用,按照订单的购买周期进行结算,因此在购买之前,您必须确保账户余额充足。按需计费是一种后付费模式,即先使用再付费,按照云防火墙实际使用时长和实际处理流量计费。关于两种计费模式的详细介绍请参见CFW计费模式概述。
抓包数据完全缺失,无法下载。 抓包数据部分缺失,已有数据支持下载。 抓包结果分享或下载,根据需求选择“抓包结果下载范围”。 分享链接生成后三十分钟内有效,请及时使用或重新生成。 无限制:任意人员都可以通过链接下载抓包文件。 抓包结果分享:单击右下角“复制全部”,将信息分享给他人。 抓包结果下载:单击右
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书
免费 自动接入 日志查询 日志管理 1~365天 按流量单独计费 需手动对接到LTS服务,具体操作请参见配置日志。 更好的使用LTS日志功能,请参见日志管理使用方式。 日志字段说明 日志类型 提供以下日志: 攻击事件日志:IPS等攻击防御功能检测到的事件记录,出现误拦截时您可以修改
更改日志存储时长 默认存储日志的时间为7天,存储时间可以在1~365天之间进行设置,超出存储时间的日志数据将会被自动删除,对于需要长期存储的日志数据(日志持久化),LTS提供转储功能,可以将日志转储至对象存储服务(OBS)中长期保存。 前提条件 已通过配置日志将日志转储至LTS。
本示例中仅解释必要参数,其他参数根据具体情况选择。 参数 示例 参数说明 区域 华北-北京四 选择资源(EIP)所在的区域。 购买的云防火墙只能在当前选择的区域使用,如需在其它区域使用,请切换到对应区域进行购买。有关支持购买CFW的区域说明,请参见云防火墙支持哪些区域?。 版本规格 标准版。 选择服务版本。 确认信息无误后,单击“立即购买”。
长期项目:对于周期较长的项目,包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测:如果能预测到业务高峰期,可提前购买包年/包月资源以应对高峰期的需求,避免资源紧张。 数据安全要求高:对于对数据安全性要求较高的业务,包年/包月计费模式可确保资源的持续使用,降低因资源欠费而导致的数据安全风险。 适用计费项
本示例中仅解释必要参数,其他参数根据具体情况选择。 参数 示例 参数说明 区域 华北-北京四 选择资源(EIP)所在的区域。 购买的云防火墙只能在当前选择的区域使用,如需在其它区域使用,请切换到对应区域进行购买。有关支持购买CFW的区域说明,请参见云防火墙支持哪些区域?。 版本规格 标准版。 选择服务版本。 确认信息无误后,单击“立即购买”。
服务版本差异 云防火墙提供了“基础版”、“标准版”、“专业版”供您使用,包括访问控制、入侵防御、流量分析以及日志审计等功能。 详细的功能介绍请参见功能特性,具体差异请参见表 版本差异说明。 表1 版本说明 版本 计费模式 防护对象 版本说明 基础版 包周期 EIP 提供EIP的精细化访问控制策略配置
检测类型和“基础防御”一致。 支持添加HTTP、TCP、UDP、POP3、SMTP、FTP协议类型的特征规则。 请参见自定义IPS特征 敏感目录扫描防御:防御对云主机敏感目录的扫描攻击,配置方式请参见开启敏感目录扫描防御。 反弹Shell检测防御:防御网络上通过反弹Shell方式进行的网络攻击,配置方式请参见开启反弹Shell检测防御。
EIP使用时需要使用此参数。 extend_bandwidth Integer 扩展带宽,步长为5,仅包周期场景下生效,当用户需要在增加带宽使用时需要使用此参数。 extend_vpc_count Integer 扩展VPC数量,仅包周期场景下生效,当用户需要增加VPC使用时需要使用此参数。
当您配置入侵防御和访问控制策略后,可以根据业务场景使用CFW提供的一系列常用实践。 表1 常用实践 实践 描述 仅放行云内资源对指定域名的访问流量 介绍如何快速放行云内资源对某个域名的访问流量,适用于业务仅需要访问指定域名时的场景。 使用CFW防御网络攻击 介绍如何使用CFW防护各类网络攻击,适用为云上业务拦截网络攻击的场景。
单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 在防火墙详细信息中,单击“已使用/可防护EIP数”、“总防护VPC数量/购买VPC数量”、“可防护互联网流量峰值”右侧的“变更”,进入“变更云防火墙规格”页面。 变更扩展包数量。
P、Any。 源端口:当前开放或限制的源端口号。支持单个端口,或者连续端口组,中间使用“-”隔开,如:80-443。 目的端口:当前开放或限制的目的端口号。 支持单个端口,或者连续端口组,中间使用“-”隔开,如:80-443。 应用 访问流量中的应用类型。 动作 “放行”:设置相应流量通过防火墙。
records.protect_objects.type(.表示各对象之间层级的区分)获得 key_word 否 String 关键字,可使用功能服务组名称和服务组描述的一部分 limit 是 Integer 每页查询个数,范围为1-1024 offset 是 Integer 偏
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
