如需了解国际站更多云产品,请访问国际站。https://www.huaweicloud.com/intl/
不再显示此消息
如需了解国际站更多云产品,请访问国际站。https://www.huaweicloud.com/intl/
不再显示此消息
配置访问控制策略 通过防护规则拦截/放行互联网边界流量 通过防护规则拦截/放行VPC边界流量 通过防护规则拦截/放行NAT网关边界流量 示例一:放行入方向中指定IP的访问流量 示例二:拦截某一地区的访问流量 示例三:放行业务访问某平台的流量 示例四:配置SNAT的防护规则 通过黑白名单拦截/放行流量
描述 id 否 String 弹性公网IP ID,可通过调用弹性IP列表查询接口获得,通过返回值中的data.records.id(.表示各对象之间层级的区分)获得。 public_ip 否 String 弹性公网IP IPv4地址,可通过调用弹性IP列表查询接口获得,通过返回值中的data
导入规则操作将在数分钟内完成。 导入规则过程中访问策略、IP地址组、服务组均不支持添加、编辑和删除操作。 导入后的策略优先级低于已创建的策略。 单击“下载中心”,查看导入规则任务状态,任务状态显示“导入成功”表示导入防护规则成功。 返回防护规则列表查看导入的防护规则。 批量导出防护策略 登录管理控制台。 单击管理控制台左上角的,选择区域。
配置了全局阻断,为什么没有放行的IP还是能通过? 云防火墙防护EIP时设置的防护策略是根据“弹性公网IP管理列表”执行的,如果您已开启全局(0.0.0.0/0)阻断,但仍有未配置“放行”策略的EIP通过,需检查该IP是否开启防护,具体操作请参见开启弹性公网IP防护。 父主题: 故障排查
资源、条件等策略内容,可自动生成策略。 JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见:创建自定义策略。本章为您介绍常用的CFW自定义策略样例。 CFW自定义策略样例 示例1:授权用户创建云防火墙
管理访问控制策略 导入/导出防护策略 调整防护规则的优先级 管理防护规则 管理黑白名单 管理时间计划 父主题: 访问控制
火墙。 在左侧导航栏中,选择“访问控制 > 策略助手”,进入“策略助手”页面。 查看防火墙实例下防护规则的统计信息。 策略看板:查看指定时间段内防护策略(防护规则和黑白名单)命中/放行/阻断的总数,以及高频命中的放行/阻断策略。 策略命中情况:查看指定时间段内指定规则的命中详情。
EipResource 参数 参数类型 描述 id String 弹性公网ID public_ip String 弹性公网IP status Integer EIP防护状态,0表示防护中,1表示未防护 public_ipv6 String 弹性公网IP,IPV6类型 enterprise_project_id
批量添加防护策略,请参见导入/导出防护策略。 添加策略之后的后续操作: 策略的命中情况,整体防护概况请参见通过策略助手查看防护信息,详细日志请参见访问控制日志。 流量趋势和统计结果,整体防护概况请参见流量分析,详细流量记录请参见流量日志。 如果您的业务可能被防护策略误拦截,排查方
请谨慎操作。 EIP:在左侧导航栏中,选择“资产管理 > 弹性公网IP管理”,进入“弹性公网IP管理”页面。 关闭单个弹性公网IP:在所在行的“操作”列中,单击“关闭防护”。 关闭多个弹性公网IP:勾选需要开启防护的弹性公网IP,单击表格上方的“关闭防护”。 VPC: 关闭VPC边界防火墙(新版)
查看防护效果: 策略的命中情况,整体防护概况请参见通过策略助手查看防护信息,详细日志请参见访问控制日志。 流量趋势和统计结果,整体防护概况请参见流量分析,详细流量记录请参见流量日志。 批量添加防护策略请参见导入/导出防护策略。 父主题: 管理访问控制策略
查看策略优先级,是否有更高优先级的策略被命中,设置优先级请参见设置优先级。 在“互联网边界防护规则”页面查看是否有下发失败的报错。 相关文档 导入安全策略参数说明请参见导入规则模板参数。 查看策略助手或定制安全报告定期查看策略的命中情况。 策略助手和安全报告中会展示策略被命中的趋势以及各类TOP
您可以通过设置防护规则的生效时间段,确保规则仅在指定的时间段内生效。 本节介绍如何添加、复制、删除时间计划。 应用场景 配置测试策略:为测试策略设置生效时间段,在测试期间,策略自动生效,确保测试的顺利进行;在测试结束时,策略会自动失效,无需手动操作。 控制公网暴露:当业务需要对外部开放端口时(例如仅办公时间开放),
启用状态 设置该策略是否立即启用。 :表示立即启用,配置完成后规则立即生效。 :表示立即关闭,规则不生效。 策略优先级 设置该策略的优先级: 置顶:表示将该策略的优先级设置为最高。 移动至选中规则后:表示将该策略优先级设置到某一规则后。 设置后,优先级数字越小,策略的优先级越高。
FullAccess” 和“CFW ReadOnlyAccess”两个系统策略授权到企业项目维度后会造成部分权限失效。 所以需要使用华为云账户自行创建两条系统策略,具体创建步骤请参见:创建自定义策略。 CFW依赖的云服务中不支持企业项目的功能需要按照以下内容添加权限,其中云日志服务(Log Tank
添加黑/白名单请参见通过黑白名单拦截/放行流量。 查看防护效果: 策略的命中情况,整体防护概况请参见通过策略助手查看防护信息,详细日志请参见访问控制日志。 流量趋势和统计结果,整体防护概况请参见流量分析,详细流量记录请参见流量日志。 批量添加防护策略请参见导入/导出防护策略。 调整防护规则的匹配优先级请参见调整防护规则的优先级。
如果有记录,单击“规则”列跳转至匹配到的阻断策略。 阻断的是黑名单,您可以选择任一方式执行: 方式一:删除该条黑名单策略。 方式二:增加一条该IP/域名的白名单策略(白名单优先黑名单匹配,增加后黑名单策略失效,该流量将直接放行)。 阻断的是防护规则,您可以选择任一方式执行: 方式一
(可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 对需要防护的EIP开启防护。 在左侧导航栏中,选择“资产管理 > 弹性公网IP管理”,进入“弹性公网IP管理”页面,弹性公网IP信息将自动更新至列表中。 在EIP所在行的“操作”列中,单击“开启防护”。 配置防护规则。 在左侧导航栏中,选择“访问控制
在左侧导航栏中,选择“资产管理 > 弹性公网IP管理”,进入“弹性公网IP管理”页面,弹性公网IP信息将自动更新至列表中。 开启弹性公网IP。 弹性公网IP防护目前不支持IPv6防护;一个EIP只能在一个防火墙上开启防护。 开启单个弹性公网IP:在所在行的“操作”列中,单击“开启防护”。 开启多个弹性公网IP
访问控制日志展示的是ACL防护策略(防护规则或黑/白名单)匹配到的流量,您需要在开启防护后配置ACL策略才能查看访问控制日志。 开启防护: 开启EIP防护请参见开启弹性公网IP防护。 开启VPC边界防护请参见开启VPC边界流量防护。 添加ACL防护策略: 添加防护规则请参见添加防护规则。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
您即将访问非华为云网站,请注意账号财产安全
