检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
删除自定义服务组 服务组是多个端口的集合。通过使用服务组,可帮助您便捷防御高危端口,有效应对需要重复编辑访问规则的场景,并且方便管理这些访问规则。 本文指导您删除自定义服务组。 约束条件 被防护规则引用的服务组不支持删除,需优先调整/删除对应规则。 删除自定义服务组 登录管理控制台。
该路由的报文会被丢弃。 连接类型 选择连接类型“虚拟私有云(VPC)”。 下一跳 在下拉列表中,选择VPC-NAT的连接。 父主题: 通过配置CFW防护规则实现SNAT流量防护
目的端口。 防护流量 入云流量:从Internet流入云防火墙方向的流量,例如,从公网下载资源到云内服务器。 出云流量:从云防火墙流出到Internet方向的流量,例如,云内服务器对外提供服务,外部用户下载云内的资源。 防护带宽:所有经过云防火墙防护的业务带宽。 互联网边界防护带
添加自定义服务组和服务 服务组是多个服务(协议、源端口、目的端口)的集合。通过使用服务组,可帮助您有效应对需要重复编辑访问规则的场景,并且方便管理这些访问规则。 约束条件 每个服务组中最多添加64个服务成员。 每个防火墙实例下最多添加512个服务组。 每个防火墙实例下最多添加900个服务成员。
云防火墙(Cloud Firewall) CFW,仅专业版提供SNAT防护。 1 具体的计费方式及标准请参考CFW计费说明。 父主题: 通过配置CFW防护规则实现SNAT流量防护
管理时间计划 您可以通过设置防护规则的生效时间段,确保规则仅在指定的时间段内生效。 本节介绍如何添加、复制、删除时间计划。 应用场景 配置测试策略:为测试策略设置生效时间段,在测试期间,策略自动生效,确保测试的顺利进行;在测试结束时,策略会自动失效,无需手动操作。 控制公网暴露:
域名组管理 添加域名组 删除域名组 父主题: 配置访问控制策略管控流量
通过策略助手查看防护信息 配置防护策略后,您可通过策略助手快速查看防护规则的命中情况,及时调整防护规则。 约束条件 基础版不支持策略助手功能。 通过策略助手查看防护信息 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。
访问控制策略管理 导入/导出防护策略 调整防护规则的优先级 管理防护规则 管理黑白名单 管理时间计划 父主题: 配置访问控制策略管控流量
IP地址组管理 添加自定义IP地址组和IP地址 查看预定义地址组 删除自定义IP地址组 父主题: 配置访问控制策略管控流量
删除域名组 约束条件 被防护规则引用的域名组不支持删除,需优先调整/删除对应规则。 删除域名组 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
如您需设置该IP地址的全部端口,可配置“端口”为“1-65535”。 如您需设置某个端口,可填写为单个端口。例如放行/拦截该IP地址22端口的访问,则配置“端口”为“22”。 如您需设置某个范围的端口,可填写为连续端口组,中间使用“-”隔开。例如放行/拦截该IP地址80-443端口的访问,则配置“端口”为“80-443”。
查看预定义地址组 云防火墙为您提供预定义地址组,包括“NAT64转换地址组”和“WAF回源IP地址组”,两个地址组均建议您放行。 NAT64转换地址组:开启弹性公网IP(EIP)服务的IPv6转换功能后,云防火墙接收到对应IPv6流量的源IP地址会被转换为当前地址组中的IP。IPv6转换功能请参见IPv6转换。
调整防护规则的优先级 流量命中某一条规则时,执行该规则的动作,并结束防护规则的匹配。建议设置放行的规则优先级高于阻断的规则,具体化的规则优先级高于宽泛的规则。 本文指导您调整防护规则的优先级顺序。 优先级排序 数字越大,优先级越低,1是最高优先级。 调整防护规则的优先级 登录管理控制台。
删除自定义IP地址组 本文指导您删除自定义IP地址组。 约束条件 被防护规则引用的地址组不支持删除,需优先调整/删除对应规则。 删除自定义IP地址组 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。
开启/关闭VPC间边界防火墙 配置完成后,防火墙默认为“未开启”状态,此时流量只经过企业路由器,未转发到防火墙。您可选择手动开启或关闭VPC间防火墙功能。 前提条件 已购买CFW专业版。 已配置企业路由器。 约束条件 仅专业版支持VPC间防火墙防护功能。 操作步骤 登录管理控制台。
有日志记录:云防火墙已成功防护VPC间流量。 无日志记录,排查企业路由器配置,请参见配置企业路由器并将流量引至云防火墙。 后续操作 如果您需要添加新的防护VPC,请参见新增防护VPC。 开启防护后,流量默认放行,云防火墙将根据您设置的策略实施拦截: 如果希望实现流量管控,需配置防护策略,请参见互联网边界防护规则或通过添加黑白名单拦截/放行流量。
墙对流量不做任何检测。 如果您的业务后续不再需要VPC边界流量防护,关闭防护后,还需手动恢复企业路由器(ER)的配置,请参见永久关闭VPC边界防护后恢复企业路由器配置。 关闭VPC边界防火墙(新版) 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规
云防火墙和安全组、网络ACL的访问控制有什么区别? 云防火墙、安全组、网络ACL都可以实现通过IP地址/IP地址组设置访问控制策略,为您的互联网边界和VPC边界、弹性云服务器、子网提供防护。 云防火墙和安全组、网络ACL的主要区别如表1所示。 表1 云防火墙和安全组、网络ACL访问控制的主要区别 类别 云防火墙
土耳其-伊斯坦布尔 拉美-墨西哥城二 拉美-圣保罗一 拉美-圣地亚哥 中东-利雅得 开启NAT网关流量防护 访问控制策略 配置合适的访问控制策略能有效地帮助您对内部服务器与外网之间的流量进行精细化管控,防止内部威胁扩散,增加安全战略纵深。 支持区域: 华北-北京四 华东-上海一 华东-上海二
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
