检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
配置访问控制策略管控流量 访问控制策略概述 通过配置防护规则拦截/放行流量 通过添加黑白名单拦截/放行流量 通过策略助手查看防护信息 访问控制策略管理 IP地址组管理 域名组管理 服务组管理
云防火墙提供策略命中计数功能,客户可以根据命中情况,及时调整策略的设置,确保没有冗余的策略。云防火墙访问控制策略可配置优先级,您可以根据业务需求优化访问控制列表。 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型
清除规则击中次数参数错误 请检查并确认参数值是否合法 创建抓包任务 400 CFW.00200028 地址类型不一致 地址类型不一致 请确保地址类型一致 400 CFW.00200032 引擎不支持IPv6 引擎不支持IPv6 请联系技术支持 查询抓包任务列表 400 CFW.00200030 地址类型错误
DNS服务器配置 选择默认DNS服务器或者添加DNS服务器地址,域名防护策略将会按照您配置的域名服务器进行IP解析并下发。 当前账号拥有多个防火墙时,DNS解析操作仅应用于设置的防火墙。 约束条件 最多支持自定义2个DNS服务器。 DNS服务器配置 登录管理控制台。 单击管理控制台左上角的,选择区域。
String 更新日志配置返回值,为防火墙id 请求示例 更新项目id为408972e72dcd4c1a9b033e955802a36b的防火墙id为22c4a5db-504c-471f-8187-5192bc11de0b的防火墙的日志配置,lts日志配置为关闭,流日志、访问控制日志、攻击日志设置为关闭。
通过配置CFW防护规则实现SNAT流量防护 SNAT防护概述 资源和成本规划 将VPC1和VPC-NAT接入企业路由器中 配置NAT网关 配置VPC1路由表 配置NAT防护规则
域名组管理 添加域名组 删除域名组 父主题: 配置访问控制策略管控流量
服务组管理 添加自定义服务组和服务 查看预定义服务组 删除自定义服务组 父主题: 配置访问控制策略管控流量
可能相同,连接配置不支持修改和删除。 您也可以手动在路由表中配置连接的静态路由,同一个路由表中,静态路由的目的地址不允许重复,连接配置支持修改和删除。 如果路由表中存在多条路由目的地址相同,则优先级:静态路由 > 传播路由。 配置验证方法 前提条件 已完成全部配置步骤。 两个VPC中各有一台ECS。
CFW与WAF、DDoS高防、CDN同时使用的配置建议 本文介绍入云流量防护时云防火墙在网络架构中的位置,以及与其他华为云服务一起使用时,云防火墙上的策略配置和注意事项。 概述 Web应用防火墙(WAF)、DDoS高防(Advanced Anti-DDoS)、内容分发网络(CDN)会对用户的流量进行反向代理,部署后,C
WAF(云模式)-> CFW -> 源站 如果购买了DDoS高防或云模式WAF,请谨慎配置阻断的防护规则,建议配置放行的防护规则或白名单。 购买独享模式WAF或ELB模式WAF时,按业务需要配置即可。 具体介绍请参见CFW与WAF、DDoS高防、CDN同时使用时的注意事项。 父主题:
配置防护规则放行指定EIP的入方向流量 配置合适的防护规则能有效地帮助您对云上资产与互联网之间的流量进行精细化管控,防止内部威胁扩散,增加安全战略纵深。 本文指导您通过标准版防火墙配置防护规则实现放行指定弹性公网IP(EIP)的入方向流量,帮助您快速精细化管控云上资产的流量。 操作流程
表。 配置关联路由表er-RT1将流量从VPC传输到云防火墙,请参见配置路由表er-RT1。 配置传播路由表er-RT2将流量从云防火墙传输到VPC,请参见配置路由表er-RT2。 修改VPC的路由表,请参见修改VPC的路由表。 开启VPC防护,并验证流量正常通信。 配置防护规则,并查看防护效果。
通过策略助手查看防护信息 配置防护策略后,您可通过策略助手快速查看防护规则的命中情况,及时调整防护规则。 约束条件 基础版不支持策略助手功能。 通过策略助手查看防护信息 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。
删除域名组 约束条件 被防护规则引用的域名组不支持删除,需优先调整/删除对应规则。 删除域名组 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
IP地址组管理 添加自定义IP地址组和IP地址 查看预定义地址组 删除自定义IP地址组 父主题: 配置访问控制策略管控流量
添加域名组 域名组是多个域名或泛域名的集合。您可以通过添加域名组批量对域名或泛域名进行防护。 提供以下两种类型: 应用域名组:支持域名或泛域名的防护;适用应用层协议,支持HTTP、HTTPS的应用协议类型;通过域名匹配。 网络域名组:支持单个域名或多个域名的防护;适用网络层协议,
防护。 配置阻断策略时注意事项 配置阻断IP的防护规则或黑名单时需注意以下几点: 建议优先配置精准的IP(如192.168.10.5),减少网段配置,避免误拦截。 对于反向代理IP(如内容分发网络(CDN)、DDoS高防、Web应用防火墙(WAF)的回源IP),请谨慎配置阻断策略,建议配置放行的防护规则或白名单。
请求流量和响应流量为同一个路径。 配置建议 建议为NAT网关创建独立VPC不用于云服务器等实例网络配置,避免影响后续的访问控制。 在前期网络规划复杂甚至不合理的情况下(例如存在VPC网段重叠、NAT网关已有复杂配置、已通过VPC-Peering配置东西向通信等场景下),请充分评估网络互连、环路、路由冲突等风险。
云防火墙(Cloud Firewall) CFW,仅专业版提供SNAT防护。 1 具体的计费方式及标准请参考CFW计费说明。 父主题: 通过配置CFW防护规则实现SNAT流量防护
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
