检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
云防火墙和Web应用防火墙是华为云推出的两款不同的产品,为您的互联网边界和VPC边界、Web服务提供防护。 WAF和CFW的主要区别说明如表1所示。 表1 CFW和WAF的主要区别说明 类别 云防火墙 Web应用防火墙 定义 云防火墙(Cloud Firewall,CFW)是新一代的云原生防火墙,提供
“状态”为“异常”的任务,抓包结果存在两种情况: 抓包数据完全缺失,无法下载。 抓包数据部分缺失,已有数据支持下载。 下载抓包结果 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选
“目的IP”列是放行的EIP(例如本文中设置的xx.xx.xx.1):对应的“响应动作”是“放行”。 “目的IP”列是其余IP地址:对应的“响应动作”是“阻断”。 相关信息 关于添加防护规则的详细参数说明请参见添加防护规则。 如果希望防护其他账号下的EIP,您需要将其他账号添
购买云防火墙标准版或专业版,请参见购买云防火墙。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 对需要防护的EIP开启防护。 在左侧导航栏中,选择“资产管理 > 弹性公网IP管理”
支持云审计的CFW操作列表 云审计服务(Cloud Trace Service,CTS)记录了云防火墙相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见《云审计服务用户指南》。 云审计服务支持的CFW操作列表如表 云审计服务支持的CFW操作列表所示。 表1 云审计服务支持的CFW操作列表
抓包的端口,包括“源端口”和“目的端口”。 最大抓包数 当前任务的最大抓包数。 抓包时间 抓包任务运行的起止时间。 抓包时长(分钟) 抓包的运行时长。 剩余保留天数 抓包任务的保留天数,默认7天。 容量 抓包数据的大小。 相关操作 复制任务信息:在目标任务所在行的“操作”列中,单击“复制”,在“新建抓包任务”填写
单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 在左侧导航树中,选择“日志审计 > 日志查询”。进入“攻击事件日志”页面,在对应事件的“操作”列,单击“查看”。 图1 查看攻击事件日志详情
流量先经过CFW再经过WAF,正常配置即可,不同的防护场景,查看日志方式不同: 在CFW上对公网ELB绑定的EIP开启防护: 此时受到来自客户端的攻击,CFW会将攻击事件打印在“攻击事件日志”的“互联网边界防火墙”页签中。 事件的“目的IP”为公网ELB绑定的EIP地址,“源IP”为客户端的IP地址。 开启V
修改入侵防御规则的防护动作 基础防御规则库和虚拟补丁规则库中的规则,支持手动修改防护动作,修改后,该规则不受IPS“防护模式”的影响。 如果规则库中的防御规则不能满足您的需求,您可自定义IPS特征规则,请参见自定义IPS特征。 规格限制 基础版不支持攻击防御功能。 约束条件 修改IPS规则存在以下限制:
调整防护规则的优先级 流量命中某一条规则时,执行该规则的动作,并结束防护规则的匹配。建议设置放行的规则优先级高于阻断的规则,具体化的规则优先级高于宽泛的规则。 本文指导您调整防护规则的优先级顺序。 优先级排序 数字越大,优先级越低,1是最高优先级。 调整防护规则的优先级 登录管理控制台。
云防火墙提供的防护带宽是多少? 云防火墙为您提供互联网边界和VPC之间的防护,您可根据需要扩展防护带宽。根据您购买的服务版本的不同,云防火墙提供不同规格的防护带宽: 互联网方向:基础版默认10 Mbps(不可扩容),标准版默认10 Mbps,专业版默认50 Mbps。 互联网方向
满足账号下VPC可创建路由表的配额不小于2。 操作步骤 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 在左侧导航栏中,选择“资产管理
ID。 每个区域的项目ID有所不同,需要根据业务所在的区域获取对应的项目ID。 图2 查看账号名、账号ID、用户名、用户ID、项目名称、项目ID 调用API获取用户ID、项目ID 获取用户ID请参考:管理员查询IAM用户列表。 获取项目ID请参考:查询指定条件下的项目列表。 获取用户组名称和ID
为什么使用NAT64转换的IP地址被阻断了? 防火墙无法防护NAT64转换前的真实源IP,如果您开启了弹性公网IP的IPv6转换功能,NAT64会将源IP转换成198.19.0.0/16的网段进行ACL访问控制。 使用IPv6访问时建议放行预定义地址组中“NAT64转换地址组”,设置后198
云防火墙能否防护DEC(专属云)上部署的资源? 如果专属云(Dedicated Cloud,DEC)所在的Region上已支持云防火墙,则可以使用云防火墙防护DEC的资源。 云防火墙支持的区域请参见功能总览。 购买云防火墙服务时,需要先切换到DEC项目下,再进行购买。 父主题: 产品咨询
流量趋势模块和流量分析页面展示的流量有什么区别? 两个模块流量数据的统计方式不同: “总览”页面的“流量趋势”模块基于流量统计数据,数据信息实时更新;展示的内容为入方向流量、出方向流量、VPC间流量信息。 “流量分析”页面基于会话统计数据,在连接期间,数据不会上报,连接结束后才会上报。
示例四:配置SNAT的防护规则 本文提供SNAT防护的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 SNAT防护配置 假如您的私网IP为“10.1.1.2”, 通过NAT网关访问的外部域名为“www.example.com”,您可以参照以下参数配置NAT防护,其余参数可根据您的部署进行填写:
企业项目id,用户支持企业项目后,由企业项目生成的id。 ha_type Integer 集群类型,包含主备(0)和集群(1)两种方式,主备模式包含四个节点,2个主节点构成集群,剩余两个节点为主节点的备节点,集群模式仅拉起两个节点作为集群。 charge_mode Integer 计费模式 0:包年/包月 1:按需
业务上云提供网络安全防护的基础服务。 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当实例加入该安全组后,即受到这些访问规则的保护。 有关安全组的详细介绍,请参见安全组和安全组规则。
拒绝策略需要同时配合其它策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先。 如果您给用户授予“CFW FullAccess”的系统策略,但不希望用户拥有“CFW FullAccess”中定义的删除黑白名单的权限(cfw:blackWhite
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
