检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
源加入防护的方案为: A账号将企业路由器共享至B账号、C账号,使用B账号、C账号在企业路由器中添加连接,在A账号的企业路由器中接受连接,并添加关联和传播,在B账号、C账号的VPC中添加路由,则完成防护接入,此时云防火墙中的防护策略将同步防护B账号、C账号下的VPC资源。 图1 跨账号防护方案
请按表格要求填写您要添加的防护策略信息。 防护规则参数说明: 互联网边界防护规则参数说明请参见导入规则模板参数-防护规则表(互联网边界防护规则) VPC边界防护规则参数说明请参见导入规则模板参数-VPC防护规则表(VPC边界防护规则)。 黑白名单参数说明请参见通过添加黑白名单拦截/放行流量。
一个防火墙实例最多添加20000条防护规则。 黑白名单 一个防火墙实例最多添加2000条黑名单。 一个防火墙实例最多添加2000条白名单。 成员组 IP地址组 每个防火墙实例下最多添加3800个IP地址组。 每个IP地址组中最多添加640个IP地址成员。 每个防火墙实例下最多添加30000个IP地址。
需完成创建防火墙,具体配置请参见创建VPC边界防火墙。 步骤一:将VPC1和VPC-NAT接入企业路由器中 添加VPC连接。 操作步骤请参见企业路由器中添加VPC连接。 连接需要添加两条,“连接资源”分别选择VPC1和VPC-NAT。 创建两个路由表。 在左侧导航栏中,单击左上方的,选择“网络
理”页面。 添加VPC连接。 单击“防火墙状态”侧的“编辑防护VPC”,进入企业路由器页面,在企业路由器中添加连接,支持添加的连接类型请参见连接概述。 下文以防护两个VPC为例(至少需要添加两条VPC连接,用于连接两个VPC和ER之间)。操作步骤请参见企业路由器中添加VPC连接。
> 路由表”,进入“路由表”页面。 在“名称”列,单击VPC1的路由表名称,进入路由表“基本信息”页面。 单击“添加路由”,参数详情见表 添加路由参数说明。 表1 添加路由参数说明 参数 说明 目的地址类型 选择“IP地址”。 目的地址 目的地址网段,设置为:0.0.0.0/0。
80 443 对80和443端口生效。 相关文档 添加单个规则实现流量防护,请参见通过添加防护规则拦截/放行流量,添加单个黑/白名单实现流量防护请参见通过添加黑白名单拦截/放行流量。 批量添加防护策略,请参见导入/导出防护策略。 添加策略之后的后续操作: 策略的命中情况,整体防护概
域名解析及域名组管理 添加域名组 删除域名组 更新域名组 更新dns服务器列表 查询域名组列表 查询dns服务器列表 查询域名解析ip地址 获取域名组下域名列表 添加域名列表 删除域名列表 查看域名组详情 获取域名地址解析结果 批量删除域名组 父主题: API
在左侧导航栏中,选择“网络 > 虚拟私有云 > 路由表”,进入“路由表”页面,在“名称”列,单击对应VPC的路由表名称。 单击“添加路由”,参数详情见表 添加路由参数说明。 表1 添加路由参数说明 参数 说明 取值样例 目的地址 目的地址网段。 须知: 不能与已有路由和VPC下子网网段冲突。 xx
可。 DDoS高防/CDN 建议您创建放行的防护规则或者添加回源IP至白名单。 创建放行的防护规则:添加一条“优先级”“置顶”的“放行”策略,放行所有回源IP;配置后CFW仍会对流量进行检测,进一步保证您的流量安全。 添加回源IP至白名单:回源IP加入“白名单”后,这些流量将被直接放通,CFW不再进行任何防护。
示例一:放行入方向中指定IP的访问流量 本文提供放行入方向中指定IP访问流量的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 单独放行入方向中指定IP的访问流量 配置两条防护规则,一条拦截所有流量,如图 拦截所有流量所示,优先级置于最低,一条单独放行指定IP的流量访问,如图
根据业务发展需要,您可以配置入侵防御策略、扩容弹性公网IP防护个数、添加黑/白名单。您还可以实时查看防护日志,分析防护事件数据,以便及时调整防护策略,更好的防护您的云上业务。 常用操作 配置入侵防御策略 扩容弹性公网IP的防护个数 添加黑/白名单 日志审计 添加IP地址组 添加服务组 常见问题 了解更多常见问题、案例和解决方案
”页签。 配置全局阻断规则。单击“添加”按钮,在弹出的“添加防护规则”对话框中,填写参数如图 拦截所有流量所示,其余参数可根据您的部署进行填写。 图1 拦截所有流量 建议您添加完所有规则后再开启“启用状态”。 配置放行规则。添加防护规则请参见添加防护规则。 将步骤 6中全局阻断规
配置企业路由器并将流量引至云防火墙 通过企业路由器连通VPC和云防火墙之间的流量。 为防护VPC添加连接,建立VPC与ER之间的网络互通。 在企业路由器中创建两个路由表作为关联路由表和传播路由表,将VPC和防火墙之间的流量互相传输。 为VPC添加一条指向企业路由器的路由。 开启VPC边界防火墙并确认流量经过云防火墙
批量迁移安全策略到CFW 应用场景 当业务需要从其他云迁移到华为云,或者安全策略需要从其他防火墙更换到云防火墙时,支持通过批量导入功能,快速添加安全策略。 注意事项 如果业务迁移时组网发生改变,则需要重新改写原有策略中的网络信息(如IP地址)。 为减小迁移对业务的影响,建议将所有规
CFW自定义策略 如果系统预置的CFW权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参见CFW权限及授权项。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
则或通过添加黑白名单拦截/放行流量。 通过防护规则放行/拦截流量: 添加放行的防护规则:放行后的流量会经过入侵防御IPS、病毒防御等功能的检测。 添加拦截的防护规则:流量将直接拦截。 通过黑白名单放行/拦截流量: 添加白名单:流量将直接放行,不再经过其他功能的检测。 添加黑名单:流量将直接拦截。
将阻断该IP/域名策略停用。 修改对应的阻断策略的匹配条件,移除该IP/域名信息。 添加一条“动作”为“放行”用于放通该IP/域名的防护规则,优先级高于其它“阻断”规则,添加防护规则请参见添加防护规则。 案例 处理流程:发现故障 -> 关闭防护 -> 查看日志 -> 修改策略 ->
由表,配置时的操作请参见配置关联路由表。 传播路由表:将流量从云防火墙传输到VPC,配置时的操作请参见配置传播路由表。 在“关联路由表”中添加的路由条数需和“传播路由表”中展示的路由条数相同。 (可选)删除“传播路由表”。 本步骤仅做提醒,如果不删除传播路由表,不影响流量从VPC1
多账号管理”,进入“多账号管理”页面。 单击“添加账号”,弹出页面通过树状展开勾选目标账号,自动添加至右侧“已选账号”。 图2 添加组织成员账号 添加的账号需为同一个组织内的账号,有关组织账号的详细说明请参见《组织账号概述》。 单击“确认”,在账号列表可查看添加的账号。 (可选)查看组织成员的EIP资源:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
