检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
永久关闭VPC边界防护后恢复企业路由器配置 如果业务后续不再需要VPC边界流量防护,在关闭VPC边界防护后,需要手动恢复企业路由器(ER)的配置。 本节指导您恢复ER的配置,恢复后,流量将直接从VPC1 --> ER --> VPC2,不再经过云防火墙。 应用场景 当前业务不再需要VPC边界防火墙防护。
全流量分析可视化、日志审计与溯源分析等,同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求,极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 您可以使用本文档提供的API对防火墙实例进行相关操作,如查询、更新等操作。
收到流量超限预警如何处理? 适用场景 配置告警通知后收到了邮件或短信形式的流量超限预警,说明您的实际业务流量已达到设置的阈值,即将超过可防护流量峰值。 处理方式 如果您的实际业务流量超过已购买的可防护流量峰值,可能会出现丢包现象,建议您: 购买扩展包来提供足够的防护流量,购买扩展包请参见变更扩展包。
配置阻断IP的防护规则或黑名单时需注意以下几点: 建议优先配置精准的IP(如192.168.10.5),减少网段配置,避免误拦截。 对于反向代理IP(如内容分发网络(CDN)、DDoS高防、Web应用防火墙(WAF)的回源IP),请谨慎配置阻断策略,建议配置放行的防护规则或白名单。 对于正向代理IP(
导入/导出防护策略 如果您需批量添加和导出防护规则、黑/白名单、IP地址组,服务组、域名组,请参照本章节进行处理。 规格限制 如果业务需要导入/导出VPC边界防护策略,请确认防火墙版本是“专业版”。 批量导入防护策略 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规
c Cloud Server, ECS)、虚拟私有云(Virtual Private Cloud, VPC)等云服务,因这些云服务中部分功能不支持企业项目,将“CFW FullAccess” 和“CFW ReadOnlyAccess”两个系统策略授权到企业项目维度后会造成部分权限失效。
500条IP地址。解析结果达到上限,则无法再将新域名添加到域名组中 映射地址量大或映射结果变化快的域名建议优先使用应用域名组(如被内容分发网络(CDN)加速的域名)。 约束条件 基础版仅支持应用型域名组。 域名组成员不支持添加中文域名格式。 域名组中所有域名被“防护规则”引用最多40
配置企业路由器时的流量走势如图 流量走势图所示,操作流程如图 配置企业路由器操作步骤所示。 图1 流量走势图 图2 操作流程 将流量引至云防火墙 根据当前业务是否已配置企业路由器,选择配置方式。 通过配置企业路由器将流量引至云防火墙 修改已有企业路由器将流量引至云防火墙 创建VPC边界防火墙,具体操作请参见创建VPC边界防火墙。
C、NAT网关)。 开通企业管理功能,并在购买CFW时选择了企业项目,CFW的账单会归属到该项目下,不影响资源防护。 企业通过企业项目管理业务时如何规划云防火墙的方案示例请参见使用CFW防护企业资源。 父主题: 产品咨询
本文介绍如何通过CFW防御蠕虫病毒攻击。 应用场景 蠕虫病毒借用网络互联的优势,通过网络漏洞、弱口令等方式攻击服务器并快速传播,对用户资产和业务造成极大的安全威胁。 CFW IPS规则库配置了针对蠕虫病毒的防御规则,可有效拦截“JS.FortNight.E-2”、“Lovgate病毒netservices
某企业有A、B两个业务在云上,每个业务分为生产和测试两个业务团队,该企业按照以下维度创建企业项目: A、B两个业务需要分开管理,则该企业为A业务创建了企业项目“A_生产”、“A_测试”,为B业务创建了企业项目“B_生产”、“B_测试”;在购买云上资源时,将资源按业务团队绑定到对应的企业项目中。
病毒防御(Anti-Virus,AV)功能通过病毒特征检测来识别和处理病毒文件,避免由病毒文件引起的数据破坏、权限更改和系统崩溃等情况发生,有效保护您的业务安全。 病毒防御功能支持检测HTTP、SMTP、POP3、FTP、IMAP4、SMB的协议类型。 规格限制 仅专业版支持病毒防御功能。 开启病毒防御拦截病毒文件
您可以使用统一身份认证服务(Identity and Access Management,简称IAM),通过IAM,您可以: 根据企业的业务组织架构,在您的华为账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用CFW资源。 根据企业用户的职能,设置
配置测试策略:为测试策略设置生效时间段,在测试期间,策略自动生效,确保测试的顺利进行;在测试结束时,策略会自动失效,无需手动操作。 控制公网暴露:当业务需要对外部开放端口时(例如仅办公时间开放),设置生效时间段可以有效减少公网暴露,降低潜在的安全风险。 特殊时间段的临时需求:临时的公网放行需求,无需担心忘记删除的安全风险。
云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的CFW日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 LTS对于采集的日志数据,通过海量日志数据的分析与处理,可以为您提供一个实时、高效、安全的日志处理能力。 防火墙支持通过“日志
拦截网络攻击 云防火墙提供网络攻击防护,帮助您检测常见的网络攻击。 规格限制 基础版不支持攻击防御功能。 对业务的影响 调整防护模式时,建议您优先开启“观察模式”,等待业务运行一段时间排查误拦截后,再逐步更换至“拦截模式”。 调整IPS防护模式拦截网络攻击 登录管理控制台。 单击管理控制台左上角的,选择区域。
VPC边界防火墙概述 VPC边界防火墙支持VPC之间通信流量的访问控制,实现内部业务互访活动的可视化与安全防护。 支持的防护对象 虚拟私有云(VPC) 虚拟网关(VGW) VPN网关(VPN) 企业连接网(ECN) 全球接入网关(DGW) 约束条件 仅“专业版”支持VPC边界防火墙。
s的VPC边界流量防护,如果您需要防护更大的VPC间流量,可以通过购买VPC数量扩展,每个VPC支持200M的VPC边界流量防护。 例如:业务部署需要防护1Gbps的VPC边界流量,则云防火墙默认防护2个VPC(200M),您还需购买4个VPC(4*200M),VPC边界防护流量=默认值(200M)+
s的VPC边界流量防护,如果您需要防护更大的VPC间流量,可以通过购买VPC数量扩展,每个VPC支持200M的VPC边界流量防护。 例如:业务部署需要防护1Gbps的VPC边界流量,则云防火墙默认防护2个VPC(200M),您还需购买4个VPC(4*200M),VPC边界防护流量=默认值(200M)+
进入我的凭证 在“我的凭证”界面,API凭证页签中,查看账号名、账号ID、用户名、用户ID、项目名称、项目ID。 每个区域的项目ID有所不同,需要根据业务所在的区域获取对应的项目ID。 图2 查看账号名、账号ID、用户名、用户ID、项目名称、项目ID 调用API获取用户ID、项目ID 获取用
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
