检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
将传播路由表中的路由(配置传播后自动生成)配置到关联路由表中。 在“关联路由表”的“路由”页签中,单击“创建路由”。参数信息填写“传播路由表”的“路由”配置中防护VPC的“目的地址”和“下一跳”。 关联路由表:将流量从VPC传输到云防火墙的路由表,配置时的操作请参见配置关联路由表。 传播路由表:将流量从云防火墙传输到
event_time long 检测到的攻击时间。 访问控制日志 字段 类型 描述 rule_id string 触发规则的ID src_ip string 源IP地址。 src_port string 源端口号。 dst_ip string 目的IP地址。 dst_port string 目的端口号。
应用场景 外部入侵防御 通过云防火墙,对已开放公网访问的服务资产进行安全盘点,可一键开启入侵检测与防御。 主动外联管控 云防火墙支持基于域名的访问控制,可对主动外联行为进行管控。 VPC间互访控制(专业版支持) 云防火墙支持VPC间流量的访问控制,实现内部业务互访活动的可视化与安全防护。
方向 外-内(表示入方向流量) 选择流量的方向: 外-内:互联网访问云上资产(EIP)。 内-外:云上资产(EIP)访问互联网。 源 Any 设置访问流量中发送数据的地址参数。 目的 Any 设置访问流量中的接收数据的地址参数。 服务 Any 设置协议类型、源端口和目的端口。 应用 Any
连接类型:选择“虚拟私有云(VPC)”。 连接:选择B账号下的VPC连接,即VPC_B。 此时关联路由表配置如下: 关联页签(多条关联的连接+VPC_B): 连接类型:虚拟私有云(VPC) 连接:A账号下多个VPC的连接、B账号下VPC的连接。 路由页签的关键参数: 连接类型:云防火墙(CFW)
VPC边界防火墙概述 VPC边界防火墙支持VPC之间通信流量的访问控制,实现内部业务互访活动的可视化与安全防护。 支持的防护对象 虚拟私有云(VPC) 虚拟网关(VGW) VPN网关(VPN) 企业连接网(ECN) 全球接入网关(DGW) 约束条件 仅“专业版”支持VPC边界防火墙。
ACL规则接口,包括创建、更新、删除ACL规则等接口。 黑白名单管理 管理黑白名单,包括创建、更新、删除黑/白名单等接口。 地址组管理 管理地址组,包括添加、查询、更新地址组等接口。 服务组管理 管理服务组,包括新增、查询、修改服务组等接口。 域名解析及域名组管理 管理域名组,包括添加、查询、更新域名组等接口。
系统管理 告警通知 网络抓包 多账号防护 DNS服务器配置 安全报告管理
SDK概述 本文介绍了CFW服务提供的SDK语言版本,列举了最新版本SDK的获取地址。 在线生成SDK代码 API Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。 SDK列表 表1提供了CFW服务支持的SDK列表,您可以在GitHub仓库查看
业务流量异常怎么办? 流量日志和攻击日志信息不全怎么办? 防护规则没有生效怎么办? IPS拦截了正常业务如何处理? 为什么访问控制日志页面数据为空? 为什么使用NAT64转换的IP地址被阻断了? 系统策略授权企业项目后,为什么部分权限会失效? 配置LTS日志时提示权限不足怎么办?
联网边界流量的防护,开启EIP防护后,您的业务流量将经过云防火墙,默认情况下,所有流量都会被放行。 您需配置访问控制策略或IPS防护模式,云防火墙才会实施拦截操作,配置访问控制策略请参见添加防护规则,IPS相关请参见配置入侵防御策略。 约束条件 弹性公网IP防护目前不支持IPv6防护。
终端节点 终端节点(Endpoint)即调用API的请求地址,不同服务不同区域的终端节点不同,您可以从地区和终端节点中查询服务的终端节点。 基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,
00900020 地址组超过最大数量限制 地址组超过最大数量限制 请删除一些地址组 添加地址组成员列表 400 CFW.00200001 地址组成员列表为空 地址组成员列表为空 请检查请求中地址组成员是否为空 获取地址组列表 400 CFW.00200030 地址类型错误 地址类型错误 请联系技术支持
入门实践 当您配置入侵防御和访问控制策略后,可以根据业务场景使用CFW提供的一系列常用实践。 表1 常用实践 实践 描述 仅放行云内资源对指定域名的访问流量 介绍如何快速放行云内资源对某个域名的访问流量,适用于业务仅需要访问指定域名时的场景。 使用CFW防御网络攻击 介绍如何使用
不存在,单击“添加路由”,参数详情见表 添加路由参数说明。 表6 添加路由参数说明 参数 说明 取值样例 目的地址 目的地址网段。 目的地址不能与已有路由冲突,目的地址也不能与VPC下子网网段冲突。 说明: 不能与已有路由和VPC下子网网段冲突。 192.168.0.0/16 下一跳类型
截止中:截止命令已下发,抓包结果上传中。 已截止:抓包结果上传完毕,任务已提前结束。 协议类型 抓包的协议类型。 IP地址 抓包的IP地址,包括“源地址”和“目的地址”。 端口 抓包的端口,包括“源端口”和“目的端口”。 最大抓包数 当前任务的最大抓包数。 抓包时间 抓包任务运行的起止时间。
支持1-65535范围内的单个端口号。 80 目的地址 目的IP地址支持以下输入格式: 单个IP地址,如:192.168.10.5 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10 地址段,使用"/"隔开掩码,如:192.168.2.0/24
protocol_type 否 Integer 协议类型,包括0:HTTP、1:SMTP、2: POP3、3:IMAP4、4:FTP、5:SMB、6:恶意访问、7:IM 响应参数 状态码:200 表6 响应Body参数 参数 参数类型 描述 data ResponseData object
由表“基本信息”页面。 单击“添加路由”,参数详情见表 添加路由参数说明。 表1 添加路由参数说明 参数 说明 目的地址类型 选择“IP地址”。 目的地址 目的地址网段,设置为:0.0.0.0/0。 下一跳类型 在下拉列表中,选择类型“企业路由器”。 下一跳 选择下一跳资源。 下拉列表中将展示您创建的企业路由器名称。
一个防火墙实例最多添加2000条黑名单。 一个防火墙实例最多添加2000条白名单。 成员组 IP地址组 每个防火墙实例下最多添加3800个IP地址组。 每个IP地址组中最多添加640个IP地址成员。 每个防火墙实例下最多添加30000个IP地址。 服务组 每个防火墙实例下最多添加900个服务成员。 每个防火墙实例下最多添加512个服务组。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
