检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
IP地址组管理 添加自定义IP地址组和IP地址 查看预定义地址组 删除自定义IP地址组 父主题: 配置访问控制策略管控流量
20个(不可扩容) 20个(可扩容,最大扩容至2000个) 50个(可扩容,最大扩容至2000个) 1000个(上限) 防护的VPC数量 × × 2个(可扩容,最大扩容至1000个) 20个(上限) 互联网边界防护带宽 10Mbps(不可扩容) 10Mbps(可扩容,最大扩容至5000Mbps)
DNS缓存中毒:攻击者利用DNS服务器的漏洞来接管DNS,通过篡改DNS服务器的缓存记录,将用户访问重定向到恶意网站,从而实施钓鱼、恶意软件下载等攻击行为。 DNS缓冲区溢出攻击:攻击者利用DNS服务器的漏洞,通过向DNS服务器的缓存区发送大量恶意数据,导致DNS服务器缓存区溢出,最终使得恶
攻击趋势:IPS阻断或放行的流量次数。 可视化统计:IPS检测/拦截到的攻击参数TOP 5的排行,参数说明请参见表 安全看板可视化统计参数说明。单击单条数据查看攻击事件详情,参数说明请参见表 攻击事件日志参数说明。 表1 安全看板可视化统计参数说明 参数名称 参数说明 攻击类型 攻击的类型。 TOP内部攻击来源IP
开启/关闭VPC间边界防火墙 配置完成后,防火墙默认为“未开启”状态,此时流量只经过企业路由器,未转发到防火墙。您可选择手动开启或关闭VPC间防火墙功能。 前提条件 已购买CFW专业版。 已配置企业路由器。 约束条件 仅专业版支持VPC间防火墙防护功能。 操作步骤 登录管理控制台。
墙对流量不做任何检测。 如果您的业务后续不再需要VPC边界流量防护,关闭防护后,还需手动恢复企业路由器(ER)的配置,请参见永久关闭VPC边界防护后恢复企业路由器配置。 关闭VPC边界防火墙(新版) 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规
有日志记录:云防火墙已成功防护VPC间流量。 无日志记录,排查企业路由器配置,请参见配置企业路由器并将流量引至云防火墙。 后续操作 如果您需要添加新的防护VPC,请参见新增防护VPC。 开启防护后,流量默认放行,云防火墙将根据您设置的策略实施拦截: 如果希望实现流量管控,需配置防护策略,请参见互联网边界防护规则或通过添加黑白名单拦截/放行流量。
每页显示个数,范围为1-1024 请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。可通过如何获取用户Token获取。 响应参数 状态码: 200 表4 响应Body参数 参数 参数类型 描述 data Htt
对象组管理”,进入“对象组管理”界面。 在“IP地址组”页签,单击“添加IP地址组”,弹出“添加IP地址组”界面,填写参数如表 添加IP地址组的参数说明所示。 表1 添加IP地址组的参数说明 参数 说明 IP地址组名称 需要添加的IP地址组名称。 命名规则如下: 可输入中文字符、英文大写字母(A~
删除域名组 约束条件 被防护规则引用的域名组不支持删除,需优先调整/删除对应规则。 删除域名组 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
域名解析及域名组管理 添加域名组 删除域名组 更新域名组 更新dns服务器列表 查询域名组列表 查询dns服务器列表 查询域名解析ip地址 获取域名组下域名列表 添加域名列表 删除域名列表 父主题: API
每个应用域名组中最多添加1500个域名成员。 网络域名组(四层协议解析) 每个防火墙实例下最多添加1000个域名成员。 每个网络域名组中最多添加15个域名成员。 每个域名组最多支持解析1500条IP地址。 每个域名最多支持解析1000条IP地址。 基础防御IPS限制 修改基础防御规则动作 最多可修改3000条规则为“观察”。
云防火墙”,进入云防火墙的总览页面。 单击“购买云防火墙”,进入“购买云防火墙”页面,相关参数如表 购买云防火墙的参数说明所示。 表1 购买基础版防火墙参数说明 参数名称 参数说明 基础配置 计费模式 包年/包月,按配置周期计费。 区域 购买云防火墙的区域。 须知: 购买的云防火墙只能在当前选择
查看预定义地址组 云防火墙为您提供预定义地址组,包括“NAT64转换地址组”和“WAF回源IP地址组”,两个地址组均建议您放行。 NAT64转换地址组:开启弹性公网IP(EIP)服务的IPv6转换功能后,云防火墙接收到对应IPv6流量的源IP地址会被转换为当前地址组中的IP。IPv6转换功能请参见IPv6转换。
云防火墙支持线下服务器吗? 云防火墙能否防护DEC(专属云)上部署的资源? 云防火墙支持跨账号使用吗? 云防火墙与Web应用防火墙有什么区别? 云防火墙和安全组、网络ACL的访问控制有什么区别? 云防火墙支持哪些维度的访问控制? 云防火墙的防护顺序是什么? 是否支持同时部署WAF、DDoS高防和CFW?
删除自定义IP地址组 本文指导您删除自定义IP地址组。 约束条件 被防护规则引用的地址组不支持删除,需优先调整/删除对应规则。 删除自定义IP地址组 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。
调整防护规则的优先级 流量命中某一条规则时,执行该规则的动作,并结束防护规则的匹配。建议设置放行的规则优先级高于阻断的规则,具体化的规则优先级高于宽泛的规则。 本文指导您调整防护规则的优先级顺序。 优先级排序 数字越大,优先级越低,1是最高优先级。 调整防护规则的优先级 登录管理控制台。
单击“下载模板”,下载导入规则模板到本地。 在模板中填写参数, 地址信息表: 地址组名称:地址组1 地址组描述:业务A 地址组地址类型:IPv4 地址组成员 IP地址:10.1.1.2;描述:ECS1 IP地址:10.1.1.3;描述:ECS2 IP地址:10.1.1.4;描述:ECS3 域名组信息表: 域名组名称:域名组1
“互联网边界”或“VPC边界”页签。 配置全局阻断规则。单击“添加”按钮,在弹出的“添加防护规则”对话框中,填写参数如图 拦截所有流量所示,其余参数可根据您的部署进行填写。 图1 拦截所有流量 建议您添加完所有规则后再开启“启用状态”。 配置放行规则。添加防护规则请参见添加防护规则。
在EIP所在行的“操作”列中,单击“开启防护”。 配置防护规则。 在左侧导航栏中,选择“访问控制 > 访问策略管理”,进入“访问策略管理”页面。 单击“添加”,在弹出的“添加防护规则”中,填写防护信息,其余参数可根据业务部署填写。 方向:外-内 源:选择“地域”,在下拉框中“全选”,并取消勾选“中国”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
