检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮
请求什么类型的操作。 GET:请求服务器返回指定资源。 PUT:请求服务器更新指定资源。 POST:请求服务器新增资源或执行特殊操作。 DELETE:请求服务器删除指定资源,如删除对象等。 HEAD:请求服务器资源头部。 PATCH:请求服务器更新资源的部分内容。当资源不存在的时
提供EIP的精细化访问控制策略配置 满足日志查询需求 标准版 包周期 EIP 满足等保需求 提供网络入侵、主机失陷等网络安全防护 专业版 按需 包周期 EIP VPC 满足等保或重保需求 提供网络入侵、主机失陷、内部网络互访等网络安全防护。 表2 版本差异说明 功能 基础版(新)① 标准版 专业版(包周期)
系统管理 告警通知 网络抓包 多账号防护 DNS服务器配置 安全报告管理
可用区(AZ,Availability Zone):一个AZ是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1
可用区(AZ,Availability Zone) 一个AZ是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目,这个项目由
产品咨询 云防火墙支持线下服务器吗? 云防火墙能否防护DEC(专属云)上部署的资源? 云防火墙支持的QPS、新建/并发连接数大小是多少? 云防火墙支持跨账号使用吗? 云防火墙与Web应用防火墙有什么区别? 云防火墙和安全组、网络ACL的访问控制有什么区别? 云防火墙支持哪些维度的访问控制?
操作系统 选择操作系统。 方向 选择该特征匹配流量的方向。 Any:任意方向,符合其他条件的任意方向的流量都会匹配到当前规则。 服务器到客户端 客户端到服务器 协议类型 选择特征的协议类型。 源类型 选择源端口类型。 Any:任意端口类型,等同于包含所有类型。 包含 排除 说明: 建议您优先选择“Any”。
云防火墙是否支持跨云或跨区域使用? 云防火墙支持线下服务器吗? 云防火墙与Web应用防火墙有什么区别? 云防火墙可以跨账号使用吗? 单条流量超速,需要升级带宽吗? 更多 产品咨询 云防火墙是否支持跨云或跨区域使用? 云防火墙与Web应用防火墙有什么区别? 云防火墙支持线下服务器吗? 云防火墙支持跨账号使用吗?
此时受到来自客户端的攻击,CFW会将攻击事件打印在“攻击事件日志”的“VPC边界防火墙”页签中。 事件的“目的IP”为源站服务器的私网IP,“源IP”为流量入口(如Nginx服务器)的私网IP。 ELB模式WAF 流量先经过CFW再经过WAF,正常配置即可。 相关文档 添加防护规则请参见添加防护规则。
目的IP地址 在防火墙控制台上使用抓包功能 使用目的以及安全保护措施 向用户展示防火墙识别出的流量明细。 数据通过http上传到告警管理服务器。 明文存储,仅管理员可以访问。 用户在防火墙上进行流量抓包后存储到管理账号的OBS桶中,仅管理员可以访问。 存留期限与存留策略 满7天会自动删除
新增防护VPC NAT网关防护 云防火墙通过防护NAT网关所在的VPC,实现对NAT网关流量的防护,并支持对私网IP进行细粒度访问控制,防止内网主机非法外联。 支持区域: 华北-北京四 华东-上海一 华东-青岛 华东二 华南-广州 西南-贵阳一 中国-香港 亚太-曼谷 亚太-新加坡 亚太-雅加达
果一致,则命中对应的防护规则。 网络域名组:CFW会在后台获取DNS服务器解析出的IP地址(每15s获取一次),当会话的四元组与网络型域名相关规则匹配、且本次访问解析到的地址在此前保存的结果中(已从DNS服务器解析中获取到IP地址),则命中对应的防护规则。 单个域名最大支持解析1
"er:instances:get", "ecs:cloudServers:list", "ecs:availabilityZones:list", "smn:topic:list"
防护EIP的流量,仅支持配置公网IP。 NAT防护: 防护NAT的流量,可以配置私网IP。 EIP防护 方向 选择防护方向: 外-内:外网访问内部服务器。 内-外:客户服务器访问外网。 内到外 动作 选择“放行”或者“阻断”。设置防火墙对通过流量的处理动作。 放行 规则地址类型 选择“IPv4”或者“IPv6”。设置防护的IP类型。
检测类型和“基础防御”一致。 支持添加HTTP、TCP、UDP、POP3、SMTP、FTP协议类型的特征规则。 请参见自定义IPS特征 敏感目录扫描防御:防御对云主机敏感目录的扫描攻击,配置方式请参见开启敏感目录扫描防御。 反弹Shell检测防御:防御网络上通过反弹Shell方式进行的网络攻击,配置方式请参见开启反弹Shell检测防御。
freezeFirewallInstance 更新攻击日志下发配置信息 alarm_config updateAlarmConfig 更新用户的域名服务器配置情况 dns_server updateDnsServer 创建东西向墙 cfw createEastWestFirewall 东西向墙开启防护
云防火墙当前默认支持标准私网网段,如需开通非标网段通信,请提交工单申请。 SNAT防护组网图 请求流量和响应流量为同一个路径。 配置建议 建议为NAT网关创建独立VPC不用于云服务器等实例网络配置,避免影响后续的访问控制。 在前期网络规划复杂甚至不合理的情况下(例如存在VPC网段重叠、NAT网关已有复杂配置、已通过V
在左侧导航栏中,选择“流量分析 > 出云流量”,进入“出云流量”页面。 查看经过防火墙的流量统计信息,支持5分钟~7天的数据。 流量看板:内部服务器访问互联网时最大流量的相关信息。 图1 出云流量-流量看板 出云流量:出方向请求流量和响应流量数据,最多支持同时查询30个EIP的流量数据。
对EIP有精细化访问控制策略配置以及日志查询需求的中小型客户。 标准版 有等保需求,或对网络入侵、主机失陷等网络安全比较关注的中小型客户。 专业版 有等保或重保需求,或对网络入侵、主机失陷、内部网络互访等网络安全比较关注的中大型客户。 购买云防火墙 根据您需要的防火墙实例版本,参考以下操作购买。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
