检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
产品咨询 云防火墙支持线下服务器吗? 云防火墙能否防护DEC(专属云)上部署的资源? 云防火墙支持跨账号使用吗? 云防火墙与Web应用防火墙有什么区别? 云防火墙和安全组、网络ACL的访问控制有什么区别? 云防火墙支持哪些维度的访问控制? 云防火墙的防护顺序是什么? 是否支持同时部署
攻击防御功能概述 云防火墙的攻击防御功能支持防护网络攻击和病毒文件,建议您及时将IPS的“防护模式”切换至“拦截模式”。 规格限制 基础版不支持攻击防御功能。 前提条件 已开启至少一项流量防护。 开启EIP流量防护请参见开启互联网边界流量防护。 开启VPC流量防护请参见开启VPC边界流量防护
开启VPC边界防火墙并确认流量经过云防火墙 配置完成后,防火墙默认为“未开启”状态,此时流量只经过企业路由器,未转发到防火墙。您可选择手动开启VPC间防火墙功能。 开启VPC边界防火墙 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规
通过添加防护规则拦截/放行流量 开启防护后,云防火墙默认放行所有流量,您可以配置防护规则,实现流量的拦截/放行。 防护规则支持防护以下几种场景: 防护互联网边界中公网资产的流量,请参见互联网边界防护规则。 防护互联网边界中私网资产的场景,请参见NAT流量防护规则。 防护VPC与VPC
自定义IPS特征 CFW支持自定义网络入侵特征规则,添加后,CFW将基于签名特征检测数据流量是否存在威胁。 自定义IPS特征支持添加HTTP、TCP、UDP、POP3、SMTP、FTP的协议类型。 自定义的特征建议具体化,避免太宽泛,否则可能会导致大部分流量匹配到该特征规则,影响流量转发性能
切换入侵防御模式为EIP拦截攻击 CFW提供入侵防御功能,结合多年攻防积累的经验规则,针对访问流量进行检测与防护,覆盖多种常见的网络攻击,有效保护您的资产。 本文指导您通过标准版防火墙将入侵防御模式切换至“拦截模式-中等”实现弹性公网IP(EIP)的防护,帮助您灵活防护云上资产。
认证鉴权 调用接口有如下两种认证方式,您可以选择其中一种进行认证鉴权。 Token认证:通过Token认证调用请求。 AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高
成长地图 | 华为云 云防火墙 云防火墙(Cloud Firewall,CFW)是新一代的云原生防火墙,提供云上互联网边界和VPC边界的防护,包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化等,同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求
配置企业路由器 防火墙创建完成后,您还需关联企业路由器和设置引流。 配置原理 配置企业路由器时需要执行以下流程。 图1 配置企业路由器操作步骤 前提条件 已完成创建防火墙步骤。 约束条件 企业路由器需关闭“默认路由表关联”、“默认路由表传播”和“自动接收共享连接”功能。 仅专业版支持
个人数据说明 使用个人数据的场景 日志数据 网络抓包 收集的个人数据项 IP地址 抓包文件 收集的来源和方式 防火墙通过防护的流量识别出的源IP地址和目的IP地址 在防火墙控制台上使用抓包功能 使用目的以及安全保护措施 向用户展示防火墙识别出的流量明细。 数据通过http上传到告警管理服务器
将VPC1和VPC-NAT接入企业路由器中 本节指导您如何将VPC1和VPC-NAT接入企业路由器。 将VPC1和VPC-NAT接入企业路由器中 添加VPC连接。 操作步骤请参见企业路由器中添加VPC连接。 连接需要添加两条,“连接资源”分别选择VPC1和VPC-NAT。 创建两个路由表
拦截病毒文件 病毒防御(Anti-Virus,AV)功能通过病毒特征检测来识别和处理病毒文件,避免由病毒文件引起的数据破坏、权限更改和系统崩溃等情况发生,有效保护您的业务安全。 病毒防御功能支持检测HTTP、SMTP、POP3、FTP、IMAP4、SMB的协议类型。 规格限制 仅专业版支持病毒防御功能
通过配置CFW防护规则实现两个VPC间流量防护 应用场景 VPC之间存在着大量的数据交换需求,CFW提供的VPC间流量防护能够检测和统计VPC间的通信流量数据,帮助您发现异常流量。 本文介绍如何配置云防火墙实现VPC1(172.16.0.0/16)和VPC2(172.18.0.0/
创建用户组并授权使用CFW 如果您需要对您所拥有的CFW进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),通过IAM,您可以: 根据企业的业务组织架构,在您的华为账号中,给企业中不同职能部门的员工创建IAM用户
权限管理 如果您需要对华为云上购买的云防火墙(CFW)资源,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能
配置日志 您可以将攻击事件日志、访问控制日志、流量日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的CFW日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 LTS对于采集的日志数据,通过海量日志数据的分析与处理,可以为您提供一个实时
访问控制策略概述 开启防护后,云防火墙默认放行所有流量,配置合适的访问控制策略能有效地帮助您对内部服务器与外网之间的流量进行精细化管控,防止内部威胁扩散,增加安全战略纵深。 访问控制策略类型 访问控制策略分为“防护规则”和“黑/白名单”两类功能,区别如表 防护规则和黑/白名单的区别所示
防护日志概述 本文介绍以下内容: 云防火墙提供的两种日志存储方式,请参见日志存储方式。 支持的日志类型,请参见日志类型。 日志中出现了异常拦截,排查方式请参见异常拦截排查。 日志存储方式 功能名称 存储时长 计费方式 接入方式 日志字段说明 日志查询 7天 免费 自动接入 日志查询
VPC边界防火墙概述 VPC边界防火墙支持VPC之间通信流量的访问控制,实现内部业务互访活动的可视化与安全防护。 支持的防护对象 虚拟私有云(VPC) 虚拟网关(VGW) VPN网关(VPN) 企业连接网(ECN) 全球接入网关(DGW) 约束条件 仅“专业版”支持VPC边界防火墙
仅放行互联网对指定端口的访问流量 应用场景 为了提升安全性,需要仅放行部分端口(例如80端口、443端口)的流量访问云内资源。 本文介绍如何通过CFW对云资源进行精细化管控,允许所有公网地址访问EIP(xx.xx.xx.1)的80端口。 通过CFW放行互联网对指定端口的访问流量 购买云防火墙标准版或专业版
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
