检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
进行填写。 将平台域名添加至应用型域名组,如图 添加某平台域名组所示。 配置两条防护规则: 一条拦截所有流量,如图 拦截所有流量所示,优先级置于最低。 一条放行EIP对某平台的流量访问,如图 放行IP对某平台的访问流量所示,优先级设置最高。 图1 添加某平台域名组 图2 拦截所有流量
云防火墙支持哪些维度的访问控制? 云防火墙当前支持基于五元组、IP地址组、服务组、域名、应用、黑名单、白名单设置ACL访问控制策略;也支持基于IPS(intrusion prevention system,入侵防御系统)设置访问控制。IPS支持观察模式和阻断模式,当您选择阻断模式
CN:中国大陆 域名 “目的地址类型”选择“域名”时,需填写“域名”。 由一串用点分隔的英文字母组成(以字符串的形式来表示服务器IP),用户通过域名来访问网站。 www.example.com 目的域名组名称 “目的地址类型”选择“域名组”时,需填写“目的域名组名称”。 输入域名组名称。
日志类型。 internet:互联网边界流量日志 nat:NAT边界流量日志 vpc:VPC间流量日志 dst_host string 目的域名。 vsys long 防火墙防护方向。 1:南北向 2:东西向 protocol string 协议类型。 app string 应用类型。
本文提供SNAT防护的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 SNAT防护配置 假如您的私网IP为“10.1.1.2”, 通过NAT网关访问的外部域名为“www.example.com”,您可以参照以下参数配置NAT防护,其余参数可根据您的部署进行填写: 图1 添加NAT防护规则 父主题:
访问策略管理”,进入“访问策略管理”页面。 在需要调整优先级的防护规则所在行的“操作”列,单击“设置优先级”。 选择“置顶”,或“移动至选中规则后”。 选择置顶,表示将该策略设置为最高优先级。 选择“移动至选中规则后”,需要选择相应的规则,表示将该策略优先级设置到选择的规则之后。 单击“确认”,完成设置优先级。
每个服务组中最多添加64个服务成员。 域名组 基础版仅支持应用型域名组。 域名组中所有域名被“防护规则”引用最多40000次,泛域名被“防护规则”引用最多2000次。 应用域名组(七层协议解析) 每个防火墙实例下最多添加500个域名组。 每个防火墙实例下最多添加2500个域名成员。 每个应用域名组中最多添加1500个域名成员。
4;描述:ECS3 域名组信息表: 域名组名称:域名组1 域名组类型:URL过滤 域名组描述:业务A对外访问域名 域名组成员 域名成员:www.example.test.api;域名描述:api 域名成员:www.test.example.com;域名描述:一个域名 域名成员:www.example
参数名称 输入示例 说明 源/目的 0.0.0.0/0 所有IP。 域名 www.example.com 对www.example.com域名生效。 域名 *.example.com 所有以example.com为后缀的域名,例如:test.example.com。 服务-源端口/目的端口
请求中携带的域名组不存在 请求中携带的域名组不存在 请检查请求中携带的域名组是否存在 删除域名 400 CFW.00200005 请求中携带的域名组不存在 请求中携带的域名组不存在 请检查请求中携带的域名组是否存在 删除域名组 400 CFW.00200004 删除的域名组被引用 删除的域名组被引用
查看防护规则是否生效。 操作视频 本视频介绍如何配置防护规则放行指定弹性公网IP(EIP)的入方向流量。 准备工作 在购买云防火墙之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证,请忽略此步骤。 请保证账户有足够的资金,防止购买云防火墙失败。具体操作请参见账户充值。
DNS(Domain Name System,域名系统),是用于将域名转换成用于计算机连接的IP地址的一套查询和转换系统。当用户在浏览器中输入网站的域名时,浏览器会向域名解析服务器(DNS服务器)发送域名解析请求,DNS服务器返回域名对应的IP地址,最终,用户通过IP地址获取到相应的网站资源。
地址组管理 管理地址组,包括添加、查询、更新地址组等接口。 服务组管理 管理服务组,包括新增、查询、修改服务组等接口。 域名解析及域名组管理 管理域名组,包括添加、查询、更新域名组等接口。 IPS管理 管理IPS特性开关,包括查询IPS状态、IPS开关、查询防护模式等操作。 日志管理 管理
接放行)。 阻断的是防护规则: 在访问控制规则列表中搜索相关IP/域名的阻断策略,将阻断该IP/域名策略停用。 修改对应的阻断策略的匹配条件,移除该IP/域名信息。 添加一条“动作”为“放行”用于放通该IP/域名的防护规则,优先级高于其它“阻断”规则,添加防护规则请参见添加防护规则。
API 防火墙管理 EIP管理 ACL规则管理 黑白名单管理 地址组管理 服务组管理 域名解析及域名组管理 IPS管理 日志管理 抓包管理
为异常外联的IP地址/域名添加防护策略: 单击“异常外联IP数”或“异常外联域名数”的数字。 在弹框中选择需要防护的IP地址/域名。 生成地址组/域名组: 创建为地址组/域名组:生成新的地址组/域名组。 添加到地址组/域名组:添加到已有的地址组/域名组。 将地址组/域名组添加到防护规则或黑/白名单,请参见访问控制策略概述。
当您配置入侵防御和访问控制策略后,可以根据业务场景使用CFW提供的一系列常用实践。 表1 常用实践 实践 描述 仅放行云内资源对指定域名的访问流量 介绍如何快速放行云内资源对某个域名的访问流量,适用于业务仅需要访问指定域名时的场景。 使用CFW防御网络攻击 介绍如何使用CFW防护各类网络攻击,适用为云上业务拦截网络攻击的场景。
目的:Any 服务:Any 应用:Any 动作:阻断 图1 拦截所有流量 一条放行EIP(xx.xx.xx.1) 80端口的流量,如图 放行域名的访问流量所示,优先级设置最高。 方向:外-内 源:Any 目的:选择“IP地址”,填写xx.xx.xx.1。 服务:TCP/1-65535/80
访问控制策略概述 通过配置防护规则拦截/放行流量 通过添加黑白名单拦截/放行流量 通过策略助手查看防护信息 访问控制策略管理 IP地址组管理 域名组管理 服务组管理
否 String 域名组id,type为4(域名组)或7(域名组-应用型)时不能为空。可通过查询域名组列表接口查询获得,通过返回值中的data.records.set_id(.表示各对象之间层级的区分)获得。 domain_set_name 否 String 域名组名称,type为
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
