检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
SNAT防护配置 假如您的私网IP为“10.1.1.2”, 通过NAT网关访问的外部域名为“www.example.com”,您可以参照以下参数配置NAT防护,其余参数可根据您的部署进行填写: 图1 添加NAT防护规则 父主题: 通过配置防护规则拦截/放行流量
什么是访问控制攻击 访问控制攻击是指攻击者通过利用系统或应用中的访问控制漏洞,以非法方式获取或提升其在系统或应用中的访问权限,执行未授权的操作或访问敏感资源。 常见的访问控制攻击包括: 越权访问攻击 垂直越权:普通用户能够访问或执行只有管理员才具有权限的资源或功能。
为什么访问控制日志页面数据为空? 访问控制日志展示的是ACL防护策略匹配到的流量,您需要配置ACL策略才能查看访问控制日志。 添加防护规则请参见添加防护规则。 通过云防火墙的所有流量记录请查看流量日志。 攻击事件记录请查看攻击事件日志。 父主题: 故障排查
目的:选择“IP地址”(配置公网IP)或“域名/域名组”。 应用:Any 单击“确认”,完成防护规则配置。 父主题: 通过配置CFW防护规则实现SNAT流量防护
支持通过地理位置、域名、域名组、黑/白名单过滤。 支持入侵防御系统(IPS)、病毒防御(AV)功能。 支持三元组(即协议、端口和对端地址)过滤。 支持五元组(即源IP地址、目的IP地址、协议、源端口、目的端口)过滤。 父主题: 产品咨询
服务组管理 添加自定义服务组和服务 查看预定义服务组 删除自定义服务组 父主题: 配置访问控制策略管控流量
父主题: 配置访问控制策略管控流量
IP地址组管理 添加自定义IP地址组和IP地址 查看预定义地址组 删除自定义IP地址组 父主题: 配置访问控制策略管控流量
通过配置防护规则拦截/放行流量 通过添加防护规则拦截/放行流量 示例一:放行入方向中指定IP的访问流量 示例二:拦截某一地区的访问流量 示例三:放行业务访问某平台的流量 示例四:配置SNAT的防护规则 父主题: 配置访问控制策略管控流量
通过使用服务组,可帮助您便捷防御高危端口,有效应对需要重复编辑访问规则的场景,并且方便管理这些访问规则。 本文指导您删除自定义服务组。 约束条件 被防护规则引用的服务组不支持删除,需优先调整/删除对应规则。 删除自定义服务组 登录管理控制台。 单击管理控制台左上角的,选择区域。
在左侧导航栏中,选择“访问控制 > 对象组管理”,进入“对象组管理”界面。 切换至“服务组”页签,选择“预定义服务组”页签,单击目标服务组的名称,进入详细信息页面,查看服务组信息。 父主题: 服务组管理
在左侧导航栏中,选择“访问控制 > 对象组管理”,进入“对象组管理”界面。 在“IP地址组”页签,选择“预定义地址组”页签,单击目标地址组的名称,进入详细信息页面,查看地址组信息。 父主题: IP地址组管理
internet:互联网边界流量日志 nat:NAT边界流量日志 vpc:VPC间流量日志 dst_host string 目的域名。 vsys long 防火墙防护方向。 1:南北向 2:东西向 hit_time long 访问发生的时间。
通过使用服务组,可帮助您有效应对需要重复编辑访问规则的场景,并且方便管理这些访问规则。 约束条件 每个服务组中最多添加64个服务成员。 每个防火墙实例下最多添加512个服务组。 每个防火墙实例下最多添加900个服务成员。 添加自定义服务组 登录管理控制台。
在左侧导航栏中,选择“访问控制 > 对象组管理”,进入“对象组管理”界面。 在“IP地址组”页签,在需要删除的IP地址组所在行的“操作”列,单击“删除”。 在弹出的“删除IP地址组”界面,确认删除的信息无误后,输入“DELETE”,单击“确定”,完成删除。
通过使用IP地址组,可帮助您有效应对需要重复编辑访问规则的场景,方便批量管理这些访问规则。 约束条件 每个防火墙实例下最多添加3800个IP地址组。 每个IP地址组中最多添加640个IP地址成员。 每个防火墙实例下最多添加30000个IP地址。
增加一条该IP/域名的白名单策略(白名单优先黑名单匹配,增加后黑名单策略失效,该流量将直接放行)。 阻断的是防护规则: 在访问控制规则列表中搜索相关IP/域名的阻断策略,将阻断该IP/域名策略停用。 修改对应的阻断策略的匹配条件,移除该IP/域名信息。
入门实践 当您配置入侵防御和访问控制策略后,可以根据业务场景使用CFW提供的一系列常用实践。 表1 常用实践 实践 描述 仅放行云内资源对指定域名的访问流量 介绍如何快速放行云内资源对某个域名的访问流量,适用于业务仅需要访问指定域名时的场景。
(可选)使用测试机,访问IP或域名,查看访问控制日志是否有命中该条规则的日志,有则证明防护规则生效,查询访问控制日志请参见访问控制日志。 在验证通过后,逐步切换类生产/现网业务到云防火墙。 图1 SNAT防护配置流程 父主题: 通过配置CFW防护规则实现SNAT流量防护
访问日志:记录命中ACL策略的流量信息,包括命中时间、五元组、响应动作、访问控制规则等信息。 流量日志:记录所有通过云防火墙的流量信息,包括开始时间、结束时间、五元组、字节数、报文数等信息。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
