检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
ELB接入防护原理 防护对象 WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式,各部署模式支持防护的对象说明如下: 云模式-CNAME接入:域名,华为云、非华为云或云下的Web业务 云模式-ELB接入:域名或IP(公网IP/私网IP),华为云的Web业务 独享模
骤,请参见《漏洞扫描 部署指南》。 (可选)验证云日志审计服务是否正常。 使用云日志审计服务前,还需要进行日志上报配置、资产信息录入等操作配置。详细操作步骤,请参见《云日志审计 部署指南》。 父主题: 企业边界防火墙旁路镜像流状态检测(USG6000F防火墙)
防火墙ASPF配置 查询ASPF配置 修改ASPF配置 父主题: FW
USG12000防火墙上线 场景说明 硬件介绍 连接线缆 登录Web配置界面 检查并升级版本 加载云服务特性包 配置防火墙与云平台对接 检查对接结果 配置业务参数(边界防护与响应服务) 配置设备网络 父主题: 天关和防火墙上线
已获取网络部署的现场环境平面图(jpg或png格式)和比例尺信息。 安装华为乾坤APP 通过网页浏览器或微信扫码功能,扫描二维码下载并安装。 图1 华为乾坤APP二维码 硬件安装云化设备 根据部署规划时的网络设备安装点位设计、设备间互联等信息,完成网络设备的硬件安装、连线、上电等操作,参见表1。
升级中心 选择“系统 > 配置 > 时钟配置”,检查设备系统时间是否与当前时间一致,如果不一致,请调整设备系统时间,以保证云端能够精确掌握威胁事件的发生时间。 图3 时钟配置 单击右上角按钮,在系统显示界面单击“确定”,保存配置以避免设备重启后配置丢失。 图4 保存配置 父主题: USG12000防火墙上线
创建防火墙 功能介绍 创建防火墙 调用方法 请参见如何调用API。 URI POST /v2/{project_id}/firewall 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID, 可以从调API处获取,也可以从控制台获取。项目ID获取方式
> 服务配置 > 地址安全域管理”。 在“全局地址管理 > 全局白名单”页签中,单击“+”,按照下图所示配置全局白名单。 图1 创建全局白名单 父主题: 企业边界防火墙旁路镜像流状态检测(USG6000F防火墙)
本场景中防火墙仅提供安全状态检测的功能,不对威胁事件进行自动阻断,云端配置的黑名单也不会生效。 本场景中防火墙旁挂的核心交换机需要支持镜像功能。 交换机上需要将镜像端口入方向和出方向的报文都镜像到观察端口,即双向镜像。 若已经开通边界防护与响应服务,需要通过配置全局白名单来提升安全状态检测的准确性。
配置天关/防火墙上线 本服务需要在客户侧部署天关或防火墙才能正常使用,服务配套的天关和防火墙型号,请参见《华为乾坤安全云服务天关和防火墙上云清单》(该文档获取需要权限,请联系华为产品经理或渠道获取)。具体操作请参见《天关和防火墙上线指南》。 父主题: 部署指南
资产上报日志到天关/防火墙 允许 logAudit-local-cloud local trust any any tcp: 日志上报到云端 允许 单击右上角“保存”,在系统显示界面单击“确定”,保存配置以避免设备重启后配置丢失。 图1 保存配置 父主题: USG6000E防火墙上线(传统模式)
00F防火墙。各服务配套的USG6000F系列防火墙所包含的机型,请参见《华为乾坤安全云服务天关和防火墙上云清单》(该文档获取需要权限,请联系华为产品经理或渠道获取)。 本文介绍USG6000F防火墙的上线操作,以及边界防护与响应服务、漏洞扫描服务、云日志审计服务所需的配置。 父主题:
场景说明 防火墙存在传统模式和云管模式两种工作模式,默认情况下,防火墙处于传统模式。当防火墙使用在云管理网络中时,需要将防火墙切换到云管模式。 本文介绍在传统模式下,防火墙的上线操作,以及边界防护与响应服务、漏洞扫描服务、云日志审计服务所需的配置。 传统模式下,各服务配套的USG
配置防火墙下挂设备注册上线 配置核心交换机上线时,需要先完成配置防火墙安全策略及配置防火墙启用NAT,然后再完成配置下挂设备注册上线。 配置防火墙安全策略 登录华为乾坤控制台。 单击页面左上角按钮,单击“我的服务 > 云管理网络”,在页面右上角选择“ > 高级配置”。 在高级配置界面选择“网络配置
说明流量通过FW2转发。 配置防火墙镜像组并上线 配置防火墙镜像组。 切换到高级参数配置模式。 以租户帐号登录华为乾坤控制台。 单击页面左上角按钮,单击“我的服务 > 云管理网络”,进入云管理网络服务首页。 单击右上角的“ > 高级配置”,进入高级配置页面。 在主菜单中选择“资源中心
配置防火墙与云平台对接(V600R023C00SPC100及其后续版本) 前提条件 已加载了云服务特性包。 已完成了云服务购买。 已通过华为乾坤控制台或华为乾坤APP完成设备添加,具体操作请分别参见: 华为乾坤控制台:设备。 华为乾坤APP:使用华为乾坤APP(首页)。 操作步骤
MEth0/0/0 设备管理网口,连接管理PC,用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 连接保护地线 图2 连接保护地线 连接电源线及卡扣 图3 连接电源线及卡扣 父主题: USG6000E防火墙上线(云管模式)
CFW防火墙配置防护策略 规则详情 表1 规则详情 参数 说明 规则名称 cfw-policy-not-empty 规则展示名 CFW防火墙配置防护策略 规则描述 CFW防火墙未配置防护策略,视为“不合规”。 标签 cfw 规则触发方式 配置变更 规则评估的资源类型 cfw.cfw_instance
配置防火墙与云平台对接(V600R007C20SPC603及其后续版本) 前提条件 设备可以正常接入Internet。 已加载了云服务组件包。 已完成了云服务购买。 已通过华为乾坤控制台或华为乾坤APP完成设备添加,具体操作请分别参见: 华为乾坤控制台:设备。 华为乾坤APP:使用华为乾坤APP(首页)。
升级中心 选择“系统 > 配置 > 时钟配置”,检查设备系统时间是否与当前时间一致,如果不一致,请调整设备系统时间,以保证云端能够精确掌握威胁事件的发生时间。 图3 时钟配置 单击右上角按钮,在系统显示界面单击“确定”,保存配置以避免设备重启后配置丢失。 图4 保存配置 父主题: USG6000F防火墙上线
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
