检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
防御能力、灵活扩展满足云上业务的变化和扩张需求,极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 介绍视频 智能防御 CFW集成华为云/安全能力积累和华为全网威胁情报,提供AI入侵防御引擎对恶意流量实时检测和拦截,与安全服务全局联动,防御木
全组的方式进行防护。 云防火墙支持跨云使用吗? 云防火墙不支持跨云使用。目前仅支持对部署在华为云的业务提供防护,对于部署在非华为云的业务,无法提供防护。 父主题: 区域与可用区
火墙。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP,华为云、非华为云或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御:对已开放公网访问的服务资产进行安全盘点,进行实时入侵检测与防御。
模式和云模式,不同的模式,流量走势不同,具体如下: 独享模式/ELB模式:互联网 -> DDoS高防 -> CFW -> WAF(独享模式/ELB模式)-> 源站 云模式:互联网 -> DDoS高防 -> WAF(云模式)-> CFW -> 源站 如果购买了DDoS高防或云模式W
云防火墙能否防护DEC(专属云)上部署的资源? 如果专属云(Dedicated Cloud,DEC)所在的Region上已支持云防火墙,则可以使用云防火墙防护DEC的资源。 云防火墙支持的区域请参见功能总览。 购买云防火墙服务时,需要先切换到DEC项目下,再进行购买。 父主题: 产品咨询
等保合规能力说明 检查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处,重要网络区域与其它网络区域之间应采取可靠的技术隔离手段。 高 通过云原生VPC能力,将重要网络区域使用
需关闭“默认路由表关联”、“默认路由表传播”和“自动接收共享连接”功能。 网段配置后默认创建InspectionVPC将流量转发至云防火墙,并自动分配云墙关联子网,将云防火墙流量转发到企业路由器,选择时需注意以下限制: 创建防火墙后不支持修改网段。 该网段需满足以下条件: 仅支持私网地址段(即在10
使用CFW跨账号防护VPC资源 安全与治理 等保二级解决方案 等保合规安全解决方案 为帮助企业高效上云,华为云Solution as Code萃取丰富上云成功实践,提供一系列基于华为云可快速部署的解决方案,帮助用户降低上云门槛。同时开放完整源码,支持个性化配置,解决方案开箱即用,所见即所得。
安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的
仅放行互联网对指定端口的访问流量 应用场景 为了提升安全性,需要仅放行部分端口(例如80端口、443端口)的流量访问云内资源。 本文介绍如何通过CFW对云资源进行精细化管控,允许所有公网地址访问EIP(xx.xx.xx.1)的80端口。 通过CFW放行互联网对指定端口的访问流量
批量迁移安全策略到CFW 应用场景 当业务需要从其他云迁移到华为云,或者安全策略需要从其他防火墙更换到云防火墙时,支持通过批量导入功能,快速添加安全策略。 注意事项 如果业务迁移时组网发生改变,则需要重新改写原有策略中的网络信息(如IP地址)。 为减小迁移对业务的影响,建议将所有
成长地图 | 华为云 云防火墙 云防火墙(Cloud Firewall,CFW)是新一代的云原生防火墙,提供云上互联网边界和VPC边界的防护,包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化等,同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求,极简应用让用户快速灵活应对威胁。
出云流量”,进入“出云流量”页面。 查看经过防火墙的流量统计信息,支持5分钟~7天的数据。 流量看板:内部服务器访问互联网时最大流量的相关信息。 图1 出云流量-流量看板 出云流量:出方向请求流量和响应流量数据,最多支持同时查询30个EIP的流量数据。 数据信息是流量日志中在该时间结束会话的流字节数的平均值。
入云流量”,进入“入云流量”页面。 查看经过防火墙的流量统计信息,支持5分钟~7天的数据。 流量看板:互联网访问内部服务器时最大流量的相关信息。 图1 入云流量-流量看板 入云流量:入方向请求流量和响应流量数据,最多支持同时查询30个EIP的流量数据。 数据信息是流量日志中在该时间结束会话的流字节数的平均值。
时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求,极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 提供基础版、标准版和专业版三个版本,其中基础版仅“西南-贵阳一”支持,其余版本支持的区域见下方“支持区域”。
仅放行云内资源对指定域名的访问流量 应用场景 为了防止敏感数据泄露或受到外部恶意攻击,需要限制云内资源仅能访问特定公网域名。 本文介绍如何通过CFW对云资源进行精细化管控,实现放行所有EIP对指定域名(本文以泛域名*.example.com为例)的80端口和443端口的访问流量。
五元组包括:源IP地址、目的IP地址、协议号、源端口、目的端口。 防护流量 入云流量:从Internet流入云防火墙方向的流量,例如,从公网下载资源到云内服务器。 出云流量:从云防火墙流出到Internet方向的流量,例如,云内服务器对外提供服务,外部用户下载云内的资源。 防护带宽:所有经过云防火墙防护的业务带宽。
Access Management,IAM)服务。 IAM权限是作用于云资源的,IAM权限定义了允许和拒绝的访问操作,以此实现云资源权限访问控制。通过IAM,可以将用户加入到一个用户组中,并用策略来控制他们对华为云资源的访问范围。 关于对CFW资源的访问权限,详细请参考CFW权限管理。
防火墙所属的企业项目。 操作 支持查看详情等操作。 在“资源概况”中,查看当前账号的当前区域下所有云资源(EIP、VPC)的防护状态。 在“安全事件”中,查看入侵防御功能的防护总详情,快速定位需要防护的云资产。 在右上角切换查询时间,支持查询5分钟~7天的数据。 为异常外联的IP地址/域名添加防护策略:
出方向流量、VPC间流量信息。 “流量分析”页面基于会话统计数据,在会话连接期间,数据不会上报,连接结束后才会上报。 入云流量:入云方向的会话。 出云流量:出云方向的会话。 VPC间访问:VPC间的会话。 父主题: 网络流量
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
