检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
日志服务。 创建日志组和日志流。操作步骤请参见创建日志组和日志流。 为方便后续查看,建议您: 创建日志组时加入-cfw为后缀。 创建日志流时分别为攻击事件日志、访问控制日志、流量日志加入-attack、-access、-flow为后缀。 选择已创建的日志组和日志流。单击“确定”,完成日志配置。
访问的源IP地址。 源国家/地区 访问源IP所属的地理位置。 源端口 访问控制的源端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 目的IP 访问的目的IP。 目的网址 访问的域名地址。 目的国家/地区 访问目的IP所属的地理位置。 目的端口 访问控制的目的端口。包括单
为异常外联的IP地址/域名添加防护策略: 单击“异常外联IP数”或“异常外联域名数”的数字。 在弹框中选择需要防护的IP地址/域名。 生成地址组/域名组: 创建为地址组/域名组:生成新的地址组/域名组。 添加到地址组/域名组:添加到已有的地址组/域名组。 将地址组/域名组添加到防护
VPC个数和VPC边界防护流量峰值如何计算? 云防火墙数据流量怎么统计? 云防火墙提供的防护带宽是多少? 业务流量超过防护带宽怎么办? 流量趋势模块和流量分析页面展示的流量有什么区别? 如何验证HTTP/HTTPS的出方向域名防护规则的有效性? 如何获取攻击者的真实IP地址? 收到流量超限预警如何处理?
行管理,并设置每个企业项目的用户权限。 与Web应用防火墙的主要区别 云防火墙和Web应用防火墙是华为云推出的两款不同的产品,为您的互联网边界和VPC边界、Web服务提供防护。 CFW和WAF的主要区别说明如表1所示。 表1 CFW和WAF的主要区别说明 类别 云防火墙 Web应用防火墙
入门实践 当您配置入侵防御和访问控制策略后,可以根据业务场景使用CFW提供的一系列常用实践。 表1 常用实践 实践 描述 仅放行云内资源对指定域名的访问流量 介绍如何快速放行云内资源对某个域名的访问流量,适用于业务仅需要访问指定域名时的场景。 使用CFW防御网络攻击 介绍如何使用
土耳其-伊斯坦布尔 拉美-墨西哥城二 拉美-圣保罗一 拉美-圣地亚哥 中东-利雅得 管理服务组 域名组 域名组是多个域名或泛域名的集合。通过使用域名组,可帮助您有效应对需要重复多次编辑访问规则的场景,并且方便管理这些访问规则。 支持区域: 华北-北京四 华东-上海一 华东-上海二 华东-青岛 华东二
创建关联参数说明。 表2 创建关联参数说明 参数名称 参数说明 连接类型 选择连接类型“虚拟私有云(VPC)”。 连接 在连接下拉列表中,选择VPC连接。 关联需要增加两条,“连接”分别选择VPC1和VPC-NAT的连接。 添加静态路由,指向防火墙:单击“路由”页签,单击“创建路由”,参数详情见表
规则类型,0:互联网边界规则,1:vpc间规则,2:nat规则,当type取0时,规则源和目的地址需要为公网ip或域名,vpc间规则需要源和目的地址为私有ip,nat规则需要源地址为私网ip,目的地址为公网ip或域名。 rules 是 Array of rules objects 添加规则请求规则列表
话。 拦截IP:发现敏感目录扫描攻击后,CFW会阻断该攻击IP一段时间。 “持续时长”:“动作”选择“拦截IP”时,可设置阻断时间,范围为60~3600s。 “阈值”:对于单个敏感目录扫描频率达到设定的阈值后,CFW会采取相应“动作”。 开启反弹Shell检测防御 登录管理控制台。
地址类型0手工输入,1关联IP地址组,2域名,3地理位置,4域名组,5多对象,6域名组-网络型,7域名组-应用型。 address_type 否 Integer 地址类型0 ipv4,1 ipv6,当type为0手动输入类型时不能为空 address 否 String IP地址信息,当type为0手动输入类型时不能为空
使用,包括访问控制、入侵防御、流量分析以及日志审计等功能。 表1 功能特性 功能项 功能描述 总览 提供防火墙实例基本信息、资源防护总览、统计信息等内容。 资产管理 管理、查看弹性公网IP和VPC的相关数据及信息。 访问控制 支持基于IP、域名、地域等方式对互联网边界和VPC边界流量进行访问控制。
管理服务组,包括新增、查询、修改服务组等接口。 域名解析及域名组管理 管理域名组,包括添加、查询、更新域名组等接口。 IPS管理 管理IPS特性开关,包括查询IPS状态、IPS开关、查询防护模式等操作。 日志管理 管理日志接口,包括查询访问控制日志、查询攻击事件日志、查询流量日志等接口。
200Mbps(随VPC数量扩容) 访问流量控制 公网资产ACL访问控制(基于IP、域名、域名组、地理位置等) √(仅支持通过Host或SNI字段匹配策略) √ √ √ 南北向流量防护,统一隔离防护云上资产在互联网的暴露风险(例如EIP) √ √ √ √ 南北向流量审计,日志查询 √(仅支持访问控制日志和流量日志)
DNS(Domain Name System,域名系统),是用于将域名转换成用于计算机连接的IP地址的一套查询和转换系统。当用户在浏览器中输入网站的域名时,浏览器会向域名解析服务器(DNS服务器)发送域名解析请求,DNS服务器返回域名对应的IP地址,最终,用户通过IP地址获取到相应的网站资源。 可
多账号防护 云防火墙服务具备安全可靠的跨账号数据汇聚和资源访问能力,如果您的账号由组织管理,您可以对组织内所有成员账号的EIP进行统一的资产防护。 约束限制 单个防火墙实例支持防护的账号个数如下: 包年/包月防火墙: 基础版:不支持多账号管理功能 标准版:20个 专业版:50个 按需计费防火墙(专业版):20个
攻击的类型。 TOP内部攻击来源IP 云内资产攻击外部IP时,云内资产的IP。 TOP外部攻击来源IP 外部IP攻击云内资产时,外部的IP。 TOP外部攻击来源地区 外部IP攻击云内资产时,外部IP的来源地区。 TOP攻击目的IP 攻击事件中的目的IP。 TOP被攻击端口 攻击事件中受到攻击的端口。
大幅提高管理和防护效率。 支持的访问控制策略 基于五元组的访问控制。即源IP地址、目的IP地址、协议号、源端口、目的端口。 基于域名的访问控制。 基于IPS(intrusion prevention system,入侵防御系统)设置访问控制。IPS支持观察模式和阻断模式,当您选
CFW支持设置以下告警: 攻击告警:IPS检测到攻击时触发告警。 流量超额预警:当流量达到所采购流量处理能力规格的一定比例时触发告警。 EIP未防护告警:当前账号有未开启防护的EIP时触发告警。 异常外联告警:检测到外联风险IP或域名的可疑行为时触发告警。 消息通知服务为付费服务,价格详情请参见SMN价格详情。
开启私网IP流量防护请参见开启NAT网关流量防护。 如何防御网络攻击和病毒文件 提供以下几种方式: 入侵防御(IPS):结合多年攻防积累的经验规则,针对访问流量进行检测与防护,覆盖多种常见的网络攻击,有效保护您的资产。 IPS提供四种防护模式,如需调整防护模式请参见调整IPS防护模式拦截网络攻击。 观察模式:仅
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
