检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
RuleAddressDtoForResponse 参数 参数类型 描述 type Integer 地址类型0手工输入,1关联IP地址组,2域名,3地理位置,4域名组,5多对象,6域名组-DNS解析,7域名组-应用型。 address_type Integer 地址类型0 ipv4,1 ipv6,当type为0手动输入类型时不能为空
服务组id,可通过获取服务组列表接口查询获得,通过返回值中的data.records.set_id(.表示各对象之间层级的区分)获得。 service_item_ids 是 Array of strings 服务组成员id列表,服务组成员id可通过查询服务成员列表接口查询获得,通过返回值中的data
使用API购买CFW 使用API购买并查询CFW 批量迁移策略 批量迁移安全策略到CFW 与WAF等云服务同时使用 CFW与WAF、DDoS高防、CDN同时使用的配置建议 配置访问控制策略 仅放行互联网对指定端口的访问流量 拦截海外地区的访问流量 仅放行云内资源对指定域名的访问流量 通过配置CFW防护规则实现两个VPC间流量防护
为您提供一个实时、高效、安全的日志处理能力。 防火墙支持通过“日志查询”查看并导出最近7天的日志数据,请参见日志查询。 LTS按流量单独计费。有关LTS的计费详情,请参见LTS价格详情。 规格限制 基础版不支持查看日志。 配置日志 登录管理控制台。 单击管理控制台左上角的,选择区域。
为异常外联的IP地址/域名添加防护策略: 单击“异常外联IP数”或“异常外联域名数”的数字。 在弹框中选择需要防护的IP地址/域名。 生成地址组/域名组: 创建为地址组/域名组:生成新的地址组/域名组。 添加到地址组/域名组:添加到已有的地址组/域名组。 将地址组/域名组添加到防护规则或黑/白名单,请参见访问控制策略概述。
DNS(Domain Name System,域名系统),是用于将域名转换成用于计算机连接的IP地址的一套查询和转换系统。当用户在浏览器中输入网站的域名时,浏览器会向域名解析服务器(DNS服务器)发送域名解析请求,DNS服务器返回域名对应的IP地址,最终,用户通过IP地址获取到相应的网站资源。
出方向流量的目的端口。 TOP应用分布 出方向流量的应用信息。 IP分析:查看指定时间段内 TOP 50 的流量信息。 外联IP:目的IP的流量信息。 图4 外联IP 外联域名:域名信息。 图5 外联域名 公网外联资产:源IP为公网IP的流量信息。 图6 公网外联资产 私网外联资产:源IP为私网IP的流量信息。
础的防护能力。 检查威胁及漏洞扫描; 检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击; 是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其它可疑行为。 查看和修改规则库请参见修改入侵防御规则的防护动作
访问流量控制 公网资产ACL访问控制(基于IP、域名、域名组、地理位置等) √(仅支持通过Host或SNI字段匹配策略) √ √ √ 南北向流量防护,统一隔离防护云上资产在互联网的暴露风险(例如EIP) √ √ √ √ 南北向流量审计,日志查询 √(仅支持访问控制日志和流量日志) √ √
参数名称 输入示例 说明 源/目的 0.0.0.0/0 所有IP。 域名 www.example.com 对www.example.com域名生效。 域名 *.example.com 所有以example.com为后缀的域名,例如:test.example.com。 服务-源端口/目的端口
CFW集成华为云/安全能力积累和华为全网威胁情报,提供AI入侵防御引擎对恶意流量实时检测和拦截,与安全服务全局联动,防御木马蠕虫、注入攻击、漏洞扫描、网络钓鱼等攻击。 灵活扩展 CFW可对全流量进行精细化管控,包括互联网边界防护、跨VPC的流量,防止外部入侵、内部渗透攻击和从内到外的非
本文提供SNAT防护的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 SNAT防护配置 假如您的私网IP为“10.1.1.2”, 通过NAT网关访问的外部域名为“www.example.com”,您可以参照以下参数配置NAT防护,其余参数可根据您的部署进行填写: 图1 添加NAT防护规则 父主题:
查询流日志 功能介绍 查询流日志 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/cfw/logs/flow 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID, 可以从调API处获取,也可以从控制台获取。项目ID获取方式
查询攻击日志 功能介绍 查询攻击日志 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/cfw/logs/attack 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID, 可以从调API处获取,也可以从控制台获取。项目ID获取方式
Service,CTS)为云防火墙提供云服务资源的操作记录,记录内容包括从访问管理控制台发起的云服务资源操作请求以及每次请求的结果,供您查询、审计和回溯使用。 CTS记录了CFW相关的操作事件,方便用户日后的查询、审计和回溯。 与云监控服务的关系 云监控(Cloud Eye)为用户提供一个针对弹性云服务器、带宽等
地址组管理 管理地址组,包括添加、查询、更新地址组等接口。 服务组管理 管理服务组,包括新增、查询、修改服务组等接口。 域名解析及域名组管理 管理域名组,包括添加、查询、更新域名组等接口。 IPS管理 管理IPS特性开关,包括查询IPS状态、IPS开关、查询防护模式等操作。 日志管理
每个服务组中最多添加64个服务成员。 域名组 基础版仅支持应用型域名组。 域名组中所有域名被“防护规则”引用最多40,000次,泛域名被“防护规则”引用最多200次。 应用域名组(七层协议解析) 每个防火墙实例下最多添加500个域名组。 每个防火墙实例下最多添加2500个域名成员。 每个应用域名组中最多添加1500个域名成员。
保持“基础防御”右侧开关开启。 单击“高级”,在“敏感目录扫描防御”模块,单击,启用防护。 “动作”: 观察模式:发现敏感目录扫描攻击后,仅记录至攻击事件日志。 拦截Session:发现敏感目录扫描攻击后,拦截当次会话。 拦截IP:发现敏感目录扫描攻击后,CFW会阻断该攻击IP一段时间。 配置
云防火墙提供的防护带宽是多少? 业务流量超过防护带宽怎么办? 流量趋势模块和流量分析页面展示的流量有什么区别? 如何验证HTTP/HTTPS的出方向域名防护规则的有效性? 如何获取攻击者的真实IP地址? 收到流量超限预警如何处理?
请求中携带的域名组不存在 请求中携带的域名组不存在 请检查请求中携带的域名组是否存在 删除域名 400 CFW.00200005 请求中携带的域名组不存在 请求中携带的域名组不存在 请检查请求中携带的域名组是否存在 删除域名组 400 CFW.00200004 删除的域名组被引用 删除的域名组被引用
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
