通过添加黑白名单拦截/放行流量 开启防护后,云防火墙默认放行所有流量,您可以通过配置黑/白名单规则,拦截/放行IP地址的访问请求。 本文指导您添加单个黑白名单,如果需要批量添加黑白名单请参见导入/导出防护策略。 如果IP为Web应用防火墙(WAF)的回源IP,建议使用白名单或配置
最多关联5条服务组。 域名防护限制: 域名防护时不支持添加中文域名格式。 网络型域名组最多只能保存1,000个地址解析结果,超出时,可能导致无法正常访问对应的域名;对于解析结果较多或变化频繁的域名,如果防护流量是HTTP、HTTPS协议,建议优先使用应用型域名组添加策略。 域名防护依赖于用
CN:中国大陆 域名 “目的地址类型”选择“域名”时,需填写“域名”。 由一串用点分隔的英文字母组成(以字符串的形式来表示服务器IP),用户通过域名来访问网站。 www.example.com 目的域名组名称 “目的地址类型”选择“域名组”时,需填写“目的域名组名称”。 输入域名组名称。
应用场景 外部入侵防御 通过云防火墙,对已开放公网访问的服务资产进行安全盘点,可一键开启入侵检测与防御。 主动外联管控 云防火墙支持基于域名的访问控制,可对主动外联行为进行管控。 VPC间互访控制(专业版支持) 云防火墙支持VPC间流量的访问控制,实现内部业务互访活动的可视化与安全防护。
云防火墙支持哪些维度的访问控制? 云防火墙当前支持基于五元组、IP地址组、服务组、域名、应用、黑名单、白名单设置ACL访问控制策略;也支持基于IPS(intrusion prevention system,入侵防御系统)设置访问控制。IPS支持观察模式和阻断模式,当您选择阻断模式
参数填写如下: 规则类型:NAT规则 方向:SNAT 源:选择“IP地址”,配置私网IP。 目的:选择“IP地址”(配置公网IP)或“域名/域名组”。 应用:Any 单击“确认”,完成防护规则配置。 父主题: 通过配置CFW防护规则实现SNAT流量防护
过添加防护规则拦截/放行流量。 SNAT防护配置 假如您的私网IP为“10.1.1.2”, 通过NAT网关访问的外部域名为“www.example.com”,您可以参照以下参数配置NAT防护,其余参数可根据您的部署进行填写: 图1 添加NAT防护规则 父主题: 通过配置防护规则拦截/放行流量
进行填写。 将平台域名添加至应用型域名组,如图 添加某平台域名组所示。 配置两条防护规则: 一条拦截所有流量,如图 拦截所有流量所示,优先级置于最低。 一条放行EIP对某平台的流量访问,如图 放行IP对某平台的访问流量所示,优先级设置最高。 图1 添加某平台域名组 图2 拦截所有流量
日志类型。 internet:互联网边界流量日志 nat:NAT边界流量日志 vpc:VPC间流量日志 dst_host string 目的域名。 vsys long 防火墙防护方向。 1:南北向 2:东西向 protocol string 协议类型。 app string 应用类型。
应用域名组(七层协议解析) 每个防火墙实例下最多添加500个域名组。 每个防火墙实例下最多添加2500个域名成员。 每个应用域名组中最多添加1500个域名成员。 网络域名组(四层协议解析) 每个防火墙实例下最多添加1000个域名成员。 每个网络域名组中最多添加15个域名成员。
接放行)。 阻断的是防护规则: 在访问控制规则列表中搜索相关IP/域名的阻断策略,将阻断该IP/域名策略停用。 修改对应的阻断策略的匹配条件,移除该IP/域名信息。 添加一条“动作”为“放行”用于放通该IP/域名的防护规则,优先级高于其它“阻断”规则,添加防护规则请参见添加防护规则。
对于正向代理IP(如公司出口IP),影响范围较大,请谨慎配置阻断策略。 配置“地域”防护时,需考虑公网IP可能更换地址的情况。 通配符规则 参数名称 输入示例 说明 源/目的 0.0.0.0/0 所有IP。 域名 www.example.com 对www.example.com域名生效。 域名
理分布在不同区域的资源,还可以为每个企业项目设置拥有不同权限的“用户”和“用户组”。 应用场景 大企业按照分公司或部门的维度管理业务时,难以划分账单和分配资源,此时可以使用企业项目管理服务: 将不同的业务赋予不同的企业项目,按照企业项目的维度产生账单,方便预算管理和分账处理。 通
地址组管理 管理地址组,包括添加、查询、更新地址组等接口。 服务组管理 管理服务组,包括新增、查询、修改服务组等接口。 域名解析及域名组管理 管理域名组,包括添加、查询、更新域名组等接口。 IPS管理 管理IPS特性开关,包括查询IPS状态、IPS开关、查询防护模式等操作。 日志管理 管理
入门实践 当您配置入侵防御和访问控制策略后,可以根据业务场景使用CFW提供的一系列常用实践。 表1 常用实践 实践 描述 仅放行云内资源对指定域名的访问流量 介绍如何快速放行云内资源对某个域名的访问流量,适用于业务仅需要访问指定域名时的场景。 使用CFW防御网络攻击 介绍如何使用
侵时,可以实时拦截入侵活动和攻击性网络流量。 什么是可疑DNS活动 DNS(Domain Name System,域名系统),是用于将域名转换成用于计算机连接的IP地址的一套查询和转换系统。当用户在浏览器中输入网站的域名时,浏览器会向域名解析服务器(DNS服务器)发送域名解析请求
通过查询服务成员列表接口查询获得,通过返回值中的data.records.item_id(.表示各对象之间层级的区分)获得。域名id可通过获取域名组下域名列表接口查询获得,通过返回值中的data.records.domain_address_id(.表示各对象之间层级的区分)获得。
项目ID, 可以从调API处获取,也可以从控制台获取。项目ID获取方式 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 企业项目ID,用户根据组织规划企业项目,对应的ID为企业项目ID,可通过如何获取企业项目ID获取,用户未开启企业项目时为0
是否必选 参数类型 描述 enterprise_project_id 否 String 企业项目ID,用户根据组织规划企业项目,对应的ID为企业项目ID,可通过如何获取企业项目ID获取,用户未开启企业项目时为0 fw_instance_id 否 String 防火墙id,可通过防火墙ID获取方式获取
安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当实例加入该安全组后,即受到这些访问规则的保护。 有关安全组的详细介绍,请参见安全组和安全组规则。 网络ACL是一个子网级别的
您即将访问非华为云网站,请注意账号财产安全