检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
日志审计是保证云防火墙可靠性、可用性和性能的重要组成部分。用户可以汇总华为云服务的操作日志并进行分析、审计、资源监控和问题定位。 CFW已对接云审计服务(Cloud Trace Service, CTS)。华为云云审计服务提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安
批量迁移安全策略到CFW 应用场景 当业务需要从其他云迁移到华为云,或者安全策略需要从其他防火墙更换到云防火墙时,支持通过批量导入功能,快速添加安全策略。 注意事项 如果业务迁移时组网发生改变,则需要重新改写原有策略中的网络信息(如IP地址)。 为减小迁移对业务的影响,建议将所有
云防火墙服务的所有权限。 系统策略 无 CFW ReadOnlyAccess 云防火墙服务的只读权限。 系统策略 无 示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予CFW只读权限“CFW ReadOnlyAccess”。 创建用户并加入用户组
配置企业路由器 防火墙创建完成后,您还需关联企业路由器和设置引流。 配置原理 配置企业路由器时需要执行以下流程。 图1 配置企业路由器操作步骤 前提条件 已完成创建防火墙步骤。 约束条件 企业路由器需关闭“默认路由表关联”、“默认路由表传播”和“自动接收共享连接”功能。 仅专业版支持VPC间防火墙防护功能。
获取项目ID请参考:查询指定条件下的项目列表。 获取用户组名称和ID 登录华为云云服务平台,进入IAM控制台,选择“用户组”页签。 单击需要查询的用户组前的下拉框,即可查询用户组名称、用户组ID。 图3 查询用户组名称、用户组ID 获取区域ID 登录华为云云服务平台,进入IAM控制台,选择“项目”页签。
约束与限制 本文介绍云防火墙CFW服务在使用过程中的约束和限制。 CFW使用限制 仅支持对部署在华为云的业务提供防护,不支持跨云使用。 支持弹性公网IP EIP的流量防护,不支持全域公网带宽GEIP、API网关APIG绑定的EIP的流量防护。 购买的云防火墙只能在当前选择的区域使
侵防御、流量分析以及日志审计等功能。 详细的功能介绍请参见功能特性,具体差异请参见表 版本差异说明。 表1 版本说明 版本 计费模式 防护对象 版本说明 基础版 包周期 EIP 提供EIP的精细化访问控制策略配置 满足日志查询需求 标准版 包周期 EIP 满足等保需求 提供网络入侵、主机失陷等网络安全防护
IAM权限是作用于云资源的,IAM权限定义了允许和拒绝的访问操作,以此实现云资源权限访问控制。通过IAM,可以将用户加入到一个用户组中,并用策略来控制他们对华为云资源的访问范围。 关于对CFW资源的访问权限,详细请参考CFW权限管理。 父主题: 安全
EIP,外到内无法主动访问,内到外的访问控制规则使用的是互联网边界防护的能力,建议不在“弹性公网IP管理”页面中对SNAT所绑定的EIP开启防护,避免规则和日志混乱。 配置流程 将VPC1和VPC-NAT接入企业路由器中 配置NAT网关 配置VPC1路由表 (可选)使用业务VPC下的测试机访问外网测试网络连通性,正常访问则证明NAT配置成功。
务,资源进入宽限期。您需支付按需资源在宽限期内产生的费用,相关费用可在管理控制台右上方“费用中心 > 总览”页面,在“欠费金额”处查看,华为云将在您充值时自动扣取欠费金额。 如果您在宽限期内仍未支付欠款,那么就会进入保留期,资源状态变为“已冻结”,您将无法对处于保留期的按需计费资源执行任何操作。
监控安全风险 CFW已对接云监控服务(Cloud Eye,CES)。该服务是华为云为用户提供一个针对各种云上资源的立体化监控平台,用户通过云监控服务可以全面了解云上的资源使用情况、业务的运行状况,并及时收到异常告警做出反应,保证业务顺畅运行。 用户使用CES并创建监控指标后,用户
式通知到华为云账号的创建者。 欠费后影响 当您的账号因按需CFW资源自动扣费导致欠费后,账号将变成欠费状态。欠费后,按需资源不会立即停止服务,资源进入宽限期。您需支付按需资源在宽限期内产生的费用,相关费用可在“管理控制台 > 费用中心 > 总览”的“欠费金额”查看,华为云将在您充值时自动扣取欠费金额。
(可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 在左侧导航栏中,选择“访问控制 > 访问策略管理”,进入“访问策略管理”界面。切换防护对象页签后,选择“黑名单”或“白名单”页签。 在需要编辑的规则所在行的“操作”列中,单击“编辑”。 对参数进行修改,参数详情请参见表 黑/白名单。
如果您需要对您所拥有的CFW进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用CFW服务的其它功能。 默认情况下,新建的IAM用户没有
W FullAccess” 和“CFW ReadOnlyAccess”两个系统策略授权到企业项目维度后会造成部分权限失效。 所以需要使用华为云账户自行创建两条系统策略,具体创建步骤请参见:创建自定义策略。 CFW依赖的云服务中不支持企业项目的功能需要按照以下内容添加权限,其中云日志服务(Log
如果系统预置的CFW权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参见CFW权限及授权项。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
数据隔离机制 租户区与管理面隔离,租户的所有操作权限隔离,不同租户间的策略、日志等数据隔离。 数据销毁机制 考虑到残留数据导致的信息泄露问题,华为云根据客户等级设定了不同的保留期时长,保留期到期仍未续订或充值,存储在云服务中的数据将被删除,云服务资源将被释放。CFW对云服务自动感知并在保留期到期后释放资源。
在页面左上角,单击“升级到专业版”,进入“购买云防火墙”页面。 确认版本规格后,单击“立即购买”。 确认订单详情,阅读并勾选“我已阅读并同意《华为云防火墙服务声明》”,单击右下角“去支付”。 在“付款”页面,选择付款方式进行付款。 父主题: 计费FAQ
在页面左上角,单击“升级到专业版”,进入“购买云防火墙”页面。 确认版本规格后,单击“立即购买”。 确认订单详情,阅读并勾选“我已阅读并同意《华为云防火墙服务声明》”,单击右下角“去支付”。 在“付款”页面,选择付款方式进行付款。 父主题: 计费类
在页面左上角,单击“升级到专业版”,进入“购买云防火墙”页面。 确认版本规格后,单击“立即购买”。 确认订单详情,阅读并勾选“我已阅读并同意《华为云防火墙服务声明》”,单击右下角“去支付”。 在“付款”页面,选择付款方式进行付款。 相关操作 如何为云防火墙续费? 如何退订云防火墙? 父主题:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
