检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用CFW防护企业资源 背景信息 华为云提供了企业项目管理(Enterprise Project Management Service,EPS)服务,帮助企业管理云上的人、财、物、权、业务,规范企业在华为云上的操作,满足企业云上IT治理诉求。 用户可以根据组织架构规划企业项目,统
(云墙关联子网-2) cfw-er-3 子网IPV4网段 (企业路由器关联子网) 分配子网IPV4网段。 说明: 需跟现有子网不冲突。 三个子网网段之间不冲突。 xx.xx.1.0/24 子网IPV4网段(云墙关联子网-1) xx.xx.2.0/24 子网IPV4网段 (云墙关联子网-2) xx.xx
FW的权限策略,控制员工对华为云CFW资源的使用范围。 如果华为账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用CFW服务的其它功能。 IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。关于IA
DNS服务器配置 选择默认DNS服务器或者添加DNS服务器地址,域名防护策略将会按照您配置的域名服务器进行IP解析并下发。 当前账号拥有多个防火墙时,DNS解析操作仅应用于设置的防火墙。 约束条件 最多支持自定义2个DNS服务器。 DNS服务器配置 登录管理控制台。 单击管理控制台左上角的,选择区域。
企业项目 在下拉列表中选择您所在的企业项目,选择后,云防火墙将归属到该项目下,云防火墙支持防护当前账号所有企业项目下的资源。 企业项目针对企业用户使用,只有开通了企业项目的客户,或者权限为企业主账号的客户才可见。如需使用该功能,请开通企业管理功能。企业项目是一种云资源管理方式,企业项目管
进行。 按需计费 当您的账号因按需CFW资源自动扣费导致欠费后,账号将变成欠费状态。欠费后,按需资源不会立即停止服务,资源进入宽限期。您需支付按需资源在宽限期内产生的费用,相关费用可在管理控制台右上方“费用中心 > 总览”页面,在“欠费金额”处查看,华为云将在您充值时自动扣取欠费金额。
当您的账号因按需CFW资源自动扣费导致欠费后,账号将变成欠费状态,资源将陆续进入宽限期和保留期。 图2 按需计费CFW资源生命周期 欠费预警 系统会在每个计费周期后的一段时间对按需计费资源进行扣费。当您的账户被扣为负值时,我们将通过邮件、短信和站内信的方式通知到华为云账号的创建者。
企业项目 在下拉列表中选择您所在的企业项目,选择后,云防火墙将归属到该项目下,云防火墙支持防护当前账号所有企业项目下的资源。 企业项目针对企业用户使用,只有开通了企业项目的客户,或者权限为企业主账号的客户才可见。如需使用该功能,请开通企业管理功能。企业项目是一种云资源管理方式,企业项目管
等保合规能力说明 检查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处,重要网络区域与其它网络区域之间应采取可靠的技术隔离手段。 高 通过云原生VPC能力,将重要网络区域使用
虚拟私有云(VPC) 虚拟网关(VGW) VPN网关(VPN) 企业连接网(ECN) 全球接入网关(DGW) 约束条件 仅“专业版”支持VPC边界防火墙。 依赖企业路由器(Enterprise Router, ER)服务引流。 仅支持防护当前账号企业项目下的VPC。 如果您存在私用公网(即使用10.0
前提条件 当前账号下需存在可用的企业路由器(企业路由器限制)。 关于企业路由器的收费,请参见企业路由器计费说明。 创建企业路由器请参见创建企业路由器。 创建时,建议取消勾选“默认路由表关联”和“默认路由表传播”。 创建说明 创建防火墙时为了引流需选择企业路由器和配置IPV4网段。 企业路由器用于引流,选择时需满足以下限制:
当前防火墙最大可防护流量的峰值。 计费模式 当前防火墙的计费模式。 企业项目 防火墙所属的企业项目。 操作 支持查看详情操作。 在“资源概况”中,查看当前账号的当前区域下所有云资源(EIP、VPC)的防护状态。 在“安全事件”中,查看入侵防御功能的防护总详情,快速定位需要防护的云资产。 在右上角
及时了解各自的成本情况。 华为云成本中心支持通过多种不同的方式对成本进行归集和重新分配,您可以根据需要选择合适的分配工具。 通过关联账号进行成本分配 企业主客户可以使用关联账号对子客户的成本进行归集,从而对子账号进行财务管理。详细介绍请参见通过关联账号维度查看成本分配。 通过企业项目进行成本分配
offset:偏移量,指定返回记录的开始位置,此处填0。 代码示例 请准备基础认证信息: ak: 华为账号Access Key,获取方式请参见获取AK/SK。 sk: 华为账号Secret Access Key,获取方式请参见获取AK/SK。 Region:区域ID,例如cn-e
用防火墙。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP,华为云、非华为云或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御:对已开放公网访问的服务资产进行安全盘点,进行实时入侵检测与防御。
云防火墙支持防护其它企业项目下的资源吗? 支持,CFW支持防护当前区域、当前账号下所有的云资源(EIP、VPC、NAT网关)。 开通企业管理功能,并在购买CFW时选择了企业项目,CFW的账单会归属到该项目下,不影响资源防护。 企业通过企业项目管理业务时如何规划云防火墙的方案示例请参见使用CFW防护企业资源。
故障排查 业务流量异常怎么办? 流量日志和攻击日志信息不全怎么办? 防护规则没有生效怎么办? IPS拦截了正常业务如何处理? 为什么访问控制日志页面数据为空? 为什么使用NAT64转换的IP地址被阻断了? 系统策略授权企业项目后,为什么部分权限会失效? 配置LTS日志时提示权限不足怎么办?
购买及变更云防火墙 购买包年/包月云防火墙 购买按需计费云防火墙 升级云防火墙版本 变更云防火墙扩展包数量
查看流量数据 查看入云流量 查看出云流量 查看VPC间访问流量
查看云防火墙防护日志 防护日志概述 日志查询 日志管理
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
