检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
access、-flow为后缀。 选择已创建的日志组和日志流。选择日志组,开启并选择日志流,单击“确定”,完成日志配置。 攻击、访问、流量日志的格式均不一样,需配置不同的日志流分别记录。 攻击日志:记录攻击告警信息,包括攻击事件类型、防护规则、防护动作、五元组、攻击payload等信息。
获取日志配置 功能介绍 获取日志配置 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/cfw/logs/configuration 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID, 可以从调AP
创建日志配置 功能介绍 创建日志配置 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/cfw/logs/configuration 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID, 可以从调A
配置企业路由器并将流量引至云防火墙 本文指导您通过企业路由器将流量引至云防火墙,并验证网络的连通性。 前提条件 流量互通,确定流量未经过防火墙时正常通信。流量验证请参见验证网络互通情况。 配置原理和流程 配置企业路由器时的流量走势如图 流量走势图所示,操作流程如图 配置企业路由器操作步骤所示。
更新对象配置描述 功能介绍 更新对象配置描述 调用方法 请参见如何调用API。 URI PUT /v1/{project_id}/object-config/desc 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID, 可以从调AP
域名组管理 添加域名组 删除域名组 父主题: 配置访问控制策略管控流量
通过配置CFW防护规则实现SNAT流量防护 SNAT防护概述 资源和成本规划 将VPC1和VPC-NAT接入企业路由器中 配置NAT网关 配置VPC1路由表 配置NAT防护规则
如果业务仍未恢复,可参考常见的故障原因: 网络故障:路由配置错误,网元故障。 策略拦截:其它安全服务、网络ACL或安全组配置错误导致的误拦截。 如果您需要华为云协助排查,可提交工单。 原因二:防护策略阻断流量 可能是在访问控制策略中配置了阻断规则,或将正常的业务加入了黑名单,此时CFW会阻断相关会话,导致业务受损。
先使用应用型域名组添加策略。 域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全,建议有访问自身业务相关域名场景时配置自定义域名服务器。 仅入方向规则(“方向”配置为“外-内”)的“源”地址支持配置“预定义地址组”。 开启NAT64防护后,使用IPv6访问时,请注意将198
查看防护规则是否生效。 操作视频 本视频介绍如何配置防护规则放行指定弹性公网IP(EIP)的入方向流量。 准备工作 在购买云防火墙之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证,请忽略此步骤。 请保证账户有足
String 更新日志配置返回值,为防火墙id 请求示例 更新项目id为408972e72dcd4c1a9b033e955802a36b的防火墙id为22c4a5db-504c-471f-8187-5192bc11de0b的防火墙的日志配置,lts日志配置为关闭,流日志、访问控制日志、攻击日志设置为关闭。
请求流量和响应流量为同一个路径。 配置建议 建议为NAT网关创建独立VPC不用于云服务器等实例网络配置,避免影响后续的访问控制。 在前期网络规划复杂甚至不合理的情况下(例如存在VPC网段重叠、NAT网关已有复杂配置、已通过VPC-Peering配置东西向通信等场景下),请充分评估网络互连、环路、路由冲突等风险。
IP地址组管理 添加自定义IP地址组和IP地址 查看预定义地址组 删除自定义IP地址组 父主题: 配置访问控制策略管控流量
示例四:配置SNAT的防护规则 本文提供SNAT防护的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 SNAT防护配置 假如您的私网IP为“10.1.1.2”, 通过NAT网关访问的外部域名为“www.example.com”,您可以参照以下参数配置NAT防护,其余参数可根据您的部署进行填写:
访问控制策略管理 导入/导出防护策略 调整防护规则的优先级 管理防护规则 管理黑白名单 管理时间计划 父主题: 配置访问控制策略管控流量
系统管理 告警通知 网络抓包 多账号防护 DNS服务器配置 安全报告管理
如下: 规则类型:NAT规则 方向:SNAT 源:选择“IP地址”,配置私网IP。 目的:选择“IP地址”(配置公网IP)或“域名/域名组”。 应用:Any 单击“确认”,完成防护规则配置。 父主题: 通过配置CFW防护规则实现SNAT流量防护
云防火墙和安全组、网络ACL的访问控制有什么区别? 云防火墙、安全组、网络ACL都可以实现通过IP地址/IP地址组设置访问控制策略,为您的互联网边界和VPC边界、弹性云服务器、子网提供防护。 云防火墙和安全组、网络ACL的主要区别如表1所示。 表1 云防火墙和安全组、网络ACL访问控制的主要区别 类别 云防火墙
由”。参数信息填写“传播路由表”的“路由”配置中防护VPC的“目的地址”和“下一跳”。 关联路由表:将流量从VPC传输到云防火墙的路由表,配置时的操作请参见配置关联路由表。 传播路由表:将流量从云防火墙传输到VPC,配置时的操作请参见配置传播路由表。 在“关联路由表”中添加的路由
该路由的报文会被丢弃。 连接类型 选择连接类型“虚拟私有云(VPC)”。 下一跳 在下拉列表中,选择VPC-NAT的连接。 父主题: 通过配置CFW防护规则实现SNAT流量防护
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
