检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
为什么访问控制日志页面数据为空? 访问控制日志展示的是ACL防护策略匹配到的流量,您需要配置ACL策略才能查看访问控制日志。 添加防护规则请参见添加防护规则。 通过云防火墙的所有流量记录请查看流量日志。 攻击事件记录请查看攻击事件日志。 父主题: 故障排查
IP地址组管理 添加自定义IP地址组和IP地址 查看预定义地址组 删除自定义IP地址组 父主题: 配置访问控制策略管控流量
通过配置防护规则拦截/放行流量 通过添加防护规则拦截/放行流量 示例一:放行入方向中指定IP的访问流量 示例二:拦截某一地区的访问流量 示例三:放行业务访问某平台的流量 示例四:配置SNAT的防护规则 父主题: 配置访问控制策略管控流量
作请参见拦截病毒文件。 Internet访问 Internet访问是指互联网IP访问云主机的行为,通过对Internet访问防护,可以帮助您及时防御外部入侵。 主动外联访问 主动外联访问是指云主机主动访问外部IP的行为,通过对主动外联访问防护,可以帮助您有效管理和控制主机外联行为。
查看入云流量 入云流量页面展示当前防火墙实例防护的互联网访问云上EIP的流量数据,数据基于会话统计,在连接期间,数据不会上报,连接结束后才会上报。 前提条件 开启弹性公网IP(EIP)防护且已有流量经过EIP,开启EIP防护的操作步骤请参见开启互联网边界流量防护。 规格限制 基础版不支持流量分析功能。
本文提供SNAT防护的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 SNAT防护配置 假如您的私网IP为“10.1.1.2”, 通过NAT网关访问的外部域名为“www.example.com”,您可以参照以下参数配置NAT防护,其余参数可根据您的部署进行填写: 图1 添加NAT防护规则
在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 在左侧导航栏中,选择“访问控制 > 访问策略管理”,进入“访问策略管理”页面,选择“互联网边界”或“VPC边界”页签。 配置全局阻断规则。单击“添加”按钮,
示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予CFW只读权限“CFW ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限:
查看出云流量 出云流量页面展示当前防火墙实例防护的云上EIP访问互联网的流量数据,数据基于会话统计,在连接期间,数据不会上报,连接结束后才会上报。 前提条件 开启弹性公网IP(EIP)防护且已有流量经过EIP,开启EIP防护的操作步骤请参见开启互联网边界流量防护。 规格限制 基础版不支持流量分析功能。
可以从调API处获取,也可以从控制台获取。项目ID获取方式 attachment_id String 企业路由器连接id,该连接用于连接防火墙和企业路由器,此字段可在通过id在ER界面查询指定er后在管理连接界面查询连接了解连接具体情况。 表8 VpcDetail 参数 参数类型 描述 id String 创建引流VPC产生的随机UUID
设置关联功能,添加VPC1和VPC-NAT的连接:在路由表设置页面,选择关联路由表,单击“关联”页签,单击“创建关联”,参数详情见表 创建关联参数说明。 表2 创建关联参数说明 参数名称 参数说明 连接类型 选择连接类型“虚拟私有云(VPC)”。 连接 在连接下拉列表中,选择VPC连接。 关联需要增加两条
云防火墙标准版实现公网IP之间的防护,例如通过NAT网关实现多个VPC/子网使用公网IP对外发起访问的场景,云防火墙专业版提供更细粒度的访问控制,例如使用私网IP对公网发起访问的场景。 本文介绍如何配置云防火墙专业版实现SNAT场景下私网IP对公网发起访问的防护。 前提条件 配置中需要使用企业路由器(Enterprise
表2 访问控制日志参数说明 参数 说明 命中时间 访问发生的时间。 源IP 访问的源IP地址。 源国家/地区 访问源IP所属的地理位置。 源端口 访问控制的源端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 目的IP 访问的目的IP。 目的网址 访问的域名地址。
NAT网关防护 访问控制策略 黑/白名单 IP地址组 服务组 域名组 入侵防御策略 病毒防御 日志审计 系统管理 云防火墙 云防火墙(Cloud Firewall,CFW)是新一代的云原生防火墙,提供云上互联网边界和VPC边界的防护,包括实时入侵检测与防御、全局统一访问控制、全流量分
云防火墙服务具备安全可靠的跨账号数据汇聚和资源访问能力,如果您的账号由组织管理,您可以对组织内任意成员账号的EIP进行统一的资产防护。 约束限制 不支持跨区域防护EIP资源,如需在其它区域使用,请切换到对应区域购买防火墙,具体操作请参见购买及变更云防火墙。 单个防火墙实例支持防护的账号个数如下: 包年/包月防火墙:
步更换至“拦截模式”。 调整IPS防护模式拦截网络攻击 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 在左侧导航栏中,选择“攻击防御
联网边界流量的防护,开启EIP防护后,您的业务流量将经过云防火墙,默认情况下,所有流量都会被放行。 您需配置访问控制策略或IPS防护模式,云防火墙才会实施拦截操作,配置访问控制策略请参见添加防护规则,IPS相关请参见配置入侵防御策略。 约束条件 弹性公网IP防护目前不支持IPv6防护。
网络流量 VPC个数和VPC边界防护流量峰值如何计算? 云防火墙数据流量怎么统计? 云防火墙提供的防护带宽是多少? 业务流量超过防护带宽怎么办? 流量趋势模块和流量分析页面展示的流量有什么区别? 如何验证HTTP/HTTPS的出方向域名防护规则的有效性? 如何获取攻击者的真实IP地址?
VPC边界防火墙概述 VPC边界防火墙支持VPC之间通信流量的访问控制,实现内部业务互访活动的可视化与安全防护。 支持的防护对象 虚拟私有云(VPC) 虚拟网关(VGW) VPN网关(VPN) 企业连接网(ECN) 全球接入网关(DGW) 约束条件 仅“专业版”支持VPC边界防火墙。
弹性公网IP列表 在“日志审计 > 日志查询”的“访问控制日志”页签中筛选出了“访问源”IP为xx.xx.xx.94的阻断日志,发现一条规则名为“阻断违规外联”的阻断规则,阻断了该IP访问外网的流量。 图3 筛选访问控制日志 在访问控制策略列表中搜索“源:xx.xx.xx.94,动
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
