检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
仅放行互联网对指定端口的访问流量 应用场景 为了提升安全性,需要仅放行部分端口(例如80端口、443端口)的流量访问云内资源。 本文介绍如何通过CFW对云资源进行精细化管控,允许所有公网地址访问EIP(xx.xx.xx.1)的80端口。 通过CFW放行互联网对指定端口的访问流量 购买
源至列表中,同步后才会对新增的EIP开启防护。 解决方法 防火墙所属账号下的EIP未开启防护:您可以等待CFW自动开启防护或者手动开启EIP防护,手动开启防护操作请参见开启互联网边界流量防护。 其它账号下的EIP未开启防护: 在自动同步之前已进入“资产管理 > 弹性公网IP管理”
已截止:抓包结果上传完毕,任务已提前结束。 协议类型 抓包的协议类型。 IP地址 抓包的IP地址,包括“源地址”和“目的地址”。 端口 抓包的端口,包括“源端口”和“目的端口”。 最大抓包数 当前任务的最大抓包数。 抓包时间 抓包任务运行的起止时间。 抓包时长(分钟) 抓包的运行时长。 剩余保留天数
查看反病毒开关 功能介绍 查看反病毒开关 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/anti-virus/switch 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,可以从调API处获取
查看VPC间访问流量 VPC间访问展示当前防火墙实例防护的VPC间流量数据。 前提条件 配置并开启VPC边界流量防护,且已有流量经过VPC,开启VPC防护的操作步骤请参见开启VPC边界流量防护。 规格限制 基础版不支持流量分析功能。 查看VPC间访问流量 登录管理控制台。 单击管理控制台左上角的,选择区域。
查看审计日志 开启了云审计服务后,系统开始记录CFW资源的操作。云审计服务管理控制台保存最近7天的操作记录。 查看审计日志的详细操作请参见查看审计事件。 父主题: 使用CTS审计CFW操作事件
TOP攻击目的IP 攻击事件中的目的IP。 TOP被攻击端口 攻击事件中受到攻击的端口。 TOP攻击统计: 查看指定时间段内IPS检测/拦截中攻击次数TOP 50信息。 TOP攻击来源统计:来源IP、来源类型等信息。 TOP攻击目的统计:目的IP、目的端口、目的应用等信息。 该IP地址是正常数据
查看出云流量 出云流量页面展示当前防火墙实例防护的云上EIP访问互联网的流量数据,数据基于会话统计,在连接期间,数据不会上报,连接结束后才会上报。 前提条件 开启弹性公网IP(EIP)防护且已有流量经过EIP,开启EIP防护的操作步骤请参见开启互联网边界流量防护。 规格限制 基础版不支持流量分析功能。
查看入云流量 入云流量页面展示当前防火墙实例防护的互联网访问云上EIP的流量数据,数据基于会话统计,在连接期间,数据不会上报,连接结束后才会上报。 前提条件 开启弹性公网IP(EIP)防护且已有流量经过EIP,开启EIP防护的操作步骤请参见开启互联网边界流量防护。 规格限制 基础版不支持流量分析功能。
VPC边界防火墙管理”,进入“VPC边界防火墙管理”页面。 在“防火墙状态”侧,单击“开启防护”。 单击“确认”,完成开启VPC边界防火墙。 验证流量是否经过云防火墙 生成流量,请参见验证网络互通情况。 查看日志:在左侧导航栏中,选择“日志审计 > 日志查询” ,选择“流量日志 > VPC边界防火墙”页签。 有
图1 拦截所有流量 建议您添加完所有规则后再开启“启用状态”。 配置放行规则。添加防护规则请参见添加防护规则。 将步骤 6中全局阻断规则的“优先级”置为最低,具体操作请参见设置优先级。 启用所有规则。建议先开启“放行”规则,后开启“阻断”规则。 配置了全局阻断,为什么没有放行的IP还是能通过?
查看导入状态接口 功能介绍 查看导入状态接口 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/acl-rule/import-status 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,可以从
流量日志和攻击日志信息不全怎么办? CFW只记录云防火墙开启阶段的用户流量日志和攻击日志,如果反复开启、关闭云防火墙,会导致关闭期间的日志无法记录。 因此,建议您避免反复执行开启、关闭CFW的操作。 父主题: 故障排查
企业项目 防火墙所属的企业项目。 操作 支持查看详情操作。 在“资源概况”中,查看当前账号的当前区域下所有云资源(EIP、VPC)的防护状态。 在“安全事件”中,查看入侵防御功能的防护总详情,快速定位需要防护的云资产。 在右上角切换查询时间,支持查询5分钟~7天的数据。 为异常外联的IP地址添加防护策略:
访问源IP所属的地理位置。 源端口 访问控制的源端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 目的IP 访问的目的IP。 目的网址 访问的域名地址。 目的国家/地区 访问目的IP所属的地理位置。 目的端口 访问控制的目的端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443
查看预定义地址组 云防火墙为您提供预定义地址组,包括“NAT64转换地址组”和“WAF回源IP地址组”,两个地址组均建议您配置放行的策略。 NAT64转换地址组:提供转换后的IP地址;开启弹性公网IP(EIP)服务的IPv6转换功能后,云防火墙接收到对应IPv6流量的源IP地址会
目的”查看源IP或目的IP。 TOP拦截目的端口 拦截的目的端口,切换“出云”或“入云”查看出方向或入方向。 TOP拦截IP地区 拦截的IP所属地区,切换“出云的目的”或“入云的源”查看出方向目的IP或入方向的源IP。 长期未命中策略:查看一周、一个月、三个月或六个月内启用后无命中的策略,建议您及时修改或删除。
业务流量异常怎么办? 当您的业务流量异常,可能被CFW中断时,可按照本节内容排查故障。 问题描述 业务流量异常,例如: EIP无法访问公网 无法访问某个服务器 排查思路 图1 业务流量异常排查思路 表1 业务流量异常排查思路 序号 可能原因 处理措施 1 非CFW造成的流量中断
为您提供一个实时、高效、安全的日志处理能力。 防火墙支持通过“日志查询”查看并导出最近7天的日志数据,请参见日志查询。 LTS按流量单独计费。有关LTS的计费详情,请参见LTS价格详情。 规格限制 基础版不支持查看日志。 配置日志 登录管理控制台。 单击管理控制台左上角的,选择区域。
拉美-圣保罗一 拉美-圣地亚哥 中东-利雅得 管理病毒防御功能 日志审计 通过日志审计功能,可查看攻击事件日志、访问控制日志、流量日志,包括攻击发生时间、攻击类型、危险等级、源端口、源IP、目的IP、目的端口等信息。 支持区域: 华北-北京四 华东-上海一 华东-上海二 华东-青岛 华东二 华南-广州