检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
开启防护后,云防火墙默认放行所有流量,配置合适的访问控制策略能有效地帮助您对内部服务器与外网之间的流量进行精细化管控,防止内部威胁扩散,增加安全战略纵深。 访问控制策略类型 访问控制策略分为“防护规则”和“黑/白名单”两类功能,区别如表 防护规则和黑/白名单的区别所示,流量命中某一条策略时,执行该策略的动作,各功能
80),只会生成TCP握手流量,并不会模拟完整的HTTP或HTTPS请求,此时应用类型识别为Unknown,不会被HTTP或HTTPS应用策略命中。 进入云防火墙管理控制台,查看防护规则的命中次数和日志记录,如果有新增,说明规则生效,如果无新增,请及时修改防护规则。 在“访问控制 > 访问策略管理”的“防护规则”页签中,查看规则的“命中次数”。
“目的IP”列是放行的EIP(例如本文中设置的xx.xx.xx.1):对应的“响应动作”是“放行”。 “目的IP”列是其余IP地址:对应的“响应动作”是“阻断”。 相关信息 关于添加防护规则的详细参数说明请参见添加防护规则。 如果希望防护其他账号下的EIP,您需要将其他账号添
系统策略授权企业项目后,为什么部分权限会失效? CFW部分功能依赖于弹性云服务器(Elastic Cloud Server, ECS)、虚拟私有云(Virtual Private Cloud, VPC)等云服务,因这些云服务中部分功能不支持企业项目,将“CFW FullAccess” 和“CFW
则,拦截/放行IP地址的访问请求。 本文指导您添加单个黑白名单,如果需要批量添加黑白名单请参见导入/导出防护策略。 如果IP为Web应用防火墙(WAF)的回源IP,建议使用白名单或配置放行的防护规则,请谨慎配置黑名单规则,否则可能会影响您的业务。 回源IP的相关信息请参见什么是回源IP?。
多账号防护 云防火墙服务具备安全可靠的跨账号数据汇聚和资源访问能力,如果您的账号由组织管理,您可以对组织内所有成员账号的EIP进行统一的资产防护。 约束限制 单个防火墙实例支持防护的账号个数如下: 包年/包月防火墙: 基础版:不支持多账号管理功能 标准版:20个 专业版:50个 按需计费防火墙(专业版):20个
拦截海外地区的访问流量 应用场景 海外IP地址往往是黑客和恶意攻击者的来源,如果您希望限制所有海外地区的IP地址访问云资源,您可以通过配置互联网边界防护规则,设置目的类型为地域的方式实现防护。 本文介绍如何通过CFW对云资源进行精细化管控,实现拦截海外地区的访问流量。 防护原理
“自动接收共享连接”功能。 仅专业版支持VPC间防火墙防护功能。 操作步骤 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 在左侧导航栏中,选择“资产管理
云防火墙的防护顺序是什么? 云防火墙匹配防护规则的优先级由高到低为:白名单 -> 黑名单 -> 防护策略(ACL)-> 基础防御(IPS)= 病毒防御(AV)。 图1 防护顺序 设置黑/白名单请参见管理黑/白名单。 添加防护规则请参见添加防护规则。 设置IPS防护模式请参见配置入
使用API购买并查询CFW 应用场景 对于专业人士而言,使用API的效率高于控制台操作,CFW提供多个功能的API接口,请参见API接口。 本文介绍如何通过API的方式快速购买和查询标准版防火墙实例。 前提条件 当前账号拥有BSS Administrator和CFW FullAccess权限。
支持云审计的CFW操作列表 云审计服务(Cloud Trace Service,CTS)记录了云防火墙相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见《云审计服务用户指南》。 云审计服务支持的CFW操作列表如表 云审计服务支持的CFW操作列表所示。 表1 云审计服务支持的CFW操作列表
购买云防火墙标准版或专业版,请参见购买云防火墙。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 对需要防护的EIP开启防护。 在左侧导航栏中,选择“资产管理 > 弹性公网IP管理”
SDK概述 本文介绍了CFW服务提供的SDK语言版本,列举了最新版本SDK的获取地址。 在线生成SDK代码 API Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。 SDK列表 表1提供了CFW服务支持的SDK列表,您可以在GitHub仓库查看
升级云防火墙版本 购买了云防火墙后,如果当前版本功能无法满足您的需求,您可以升级CFW的版本。 约束限制 仅包周期(包年/包月)防火墙支持升级服务版本,“按需计费”购买的防火墙仅支持专业版且按照实际防护流量计费,无需变更防火墙规格。 基础版不支持升级版本。 从标准版升级到专业版 登录管理控制台。
单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 在左侧导航树中,选择“日志审计 > 日志查询”。进入“攻击事件日志”页面,在对应事件的“操作”列,单击“查看”。 图1 查看攻击事件日志详情
流量先经过CFW再经过WAF,正常配置即可,不同的防护场景,查看日志方式不同: 在CFW上对公网ELB绑定的EIP开启防护: 此时受到来自客户端的攻击,CFW会将攻击事件打印在“攻击事件日志”的“互联网边界防火墙”页签中。 事件的“目的IP”为公网ELB绑定的EIP地址,“源IP”为客户端的IP地址。 开启V
许删除CFW的权限策略,控制员工对华为云CFW资源的使用范围。 如果华为账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用CFW服务的其它功能。 IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。
云防火墙提供的防护带宽是多少? 云防火墙为您提供互联网边界和VPC之间的防护,您可根据需要扩展防护带宽。根据您购买的服务版本的不同,云防火墙提供不同规格的防护带宽: 互联网方向:基础版默认10 Mbps(不可扩容),标准版默认10 Mbps,专业版默认50 Mbps。 互联网方向
如果您需要对您所拥有的CFW进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用CFW服务的其它功能。 默认情况下,新建的IAM用户没有任何
CFW通过多种数据保护手段和特性,保证通过CFW的数据安全可靠。 表1 CFW的数据保护手段和特性 数据保护手段 简要说明 静态数据保护 CFW通过敏感数据加密保证用户流量中敏感数据的安全性。 传输中的数据保护 微服务间管理数据传输进行加密,防止数据在传输过程中泄露或被篡改。用户的配置数据传输采用安全协议HTTPS,防止数据被窃取。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
