检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
CFW长连接业务场景限制,配置策略的时候需要同时开启双向放通的安全策略,如果只开启单向策略,部分场景(开启和关闭防护、扩容引擎)需要客户端重新发起连接。相关问题建议提交工单评估风险。 最多添加20000条防护规则。
通过配置防护规则拦截/放行流量 通过添加防护规则拦截/放行流量 示例一:放行入方向中指定IP的访问流量 示例二:拦截某一地区的访问流量 示例三:放行业务访问某平台的流量 示例四:配置SNAT的防护规则 父主题: 配置访问控制策略管控流量
入门实践 当您配置入侵防御和访问控制策略后,可以根据业务场景使用CFW提供的一系列常用实践。 表1 常用实践 实践 描述 仅放行云内资源对指定域名的访问流量 介绍如何快速放行云内资源对某个域名的访问流量,适用于业务仅需要访问指定域名时的场景。 使用CFW防御网络攻击 介绍如何使用CFW
认证鉴权 调用接口有如下两种认证方式,您可以选择其中一种进行认证鉴权。 Token认证:通过Token认证调用请求。 AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高
欠费说明 用户在使用云防火墙时,账户的可用额度小于待结算的账单,即被判定为账户欠费。欠费后,可能会影响云防火墙的正常运行,请及时充值。 欠费影响 包年/包月 对于包年/包月CFW资源,用户已经预先支付了资源费用,因此在账户出现欠费的情况下,已有的包年/包月CFW资源仍可正常使用。然而
购买包年/包月云防火墙 包年/包月计费模式是一种预付费方式,按订单的购买周期计费,适用于可预估资源使用周期的场景,价格比按需计费模式更优惠。 云防火墙支持一个区域下购买多个防火墙,便于管理不同场景下的资源和策略。 前提条件 当前账号拥有BSS Administrator和CFW FullAccess
业务流量异常怎么办? 当您的业务流量异常,可能被CFW中断时,可按照本节内容排查故障。 问题描述 业务流量异常,例如: EIP无法访问公网 无法访问某个服务器 排查思路 图1 业务流量异常排查思路 表1 业务流量异常排查思路 序号 可能原因 处理措施 1 非CFW造成的流量中断 解决方法请参考原因一
成本管理 随着上云企业越来越多,企业对用云成本问题也越发重视。使用云防火墙CFW时,如何进行成本管理,减轻业务负担呢?本文将从成本构成、成本分配、成本分析和成本优化四个维度介绍成本管理,帮助您通过成本管理节约成本,在保障业务快速发展的同时获得最大成本收益。 成本构成 使用云防火墙CFW
续费概述 续费简介 包年/包月云防火墙到期后会影响云防火墙正常运行。如果您想继续使用,需要在指定的时间内为云防火墙续费,否则防护规则、日志数据等资源会自动释放,数据丢失且不可恢复。 续费操作仅适用于包年/包月云防火墙,按需计费云防火墙不需要续费,只需要保证账户余额充足即可。 云防火墙在到期前续费成功
购买按需计费云防火墙 按需付费是后付费方式,可以随时开通/删除云防火墙,支持秒级计费,系统会根据防护流量的实际情况每小时出账单,并从账户余额里扣款。 云防火墙支持一个区域下购买多个防火墙,便于管理不同场景下的资源和策略。 前提条件 当前账号拥有BSS Administrator和CFW
通过策略助手查看防护信息 配置防护策略后,您可通过策略助手快速查看防护规则的命中情况,及时调整防护规则。 约束条件 基础版不支持策略助手功能。 通过策略助手查看防护信息 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙
下载抓包结果 限制说明 “状态”为“异常”的任务,抓包结果存在两种情况: 抓包数据完全缺失,无法下载。 抓包数据部分缺失,已有数据支持下载。 下载抓包结果 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面
切换入侵防御模式为EIP拦截攻击 CFW提供入侵防御功能,结合多年攻防积累的经验规则,针对访问流量进行检测与防护,覆盖多种常见的网络攻击,有效保护您的资产。 本文指导您通过标准版防火墙将入侵防御模式切换至“拦截模式-中等”实现弹性公网IP(EIP)的防护,帮助您灵活防护云上资产。
数据保护技术 CFW通过多种数据保护手段和特性,保证通过CFW的数据安全可靠。 表1 CFW的数据保护手段和特性 数据保护手段 简要说明 静态数据保护 CFW通过敏感数据加密保证用户流量中敏感数据的安全性。 传输中的数据保护 微服务间管理数据传输进行加密,防止数据在传输过程中泄露或被篡改
创建VPC边界防火墙 VPC边界防火墙能够检测和统计VPC间的通信流量数据,帮助您发现异常流量。开启VPC边界防火墙之前,您需要先创建VPC边界防火墙。 前提条件 已有企业路由器。 创建VPC边界防火墙需使用您防护VPC配额中的一个VPC作为Inspection VPC用于引流,所以当前账号需存在一个无流量且未规划子网的
按需计费 按需计费是一种先使用再付费的计费模式,适用于无需任何预付款或长期承诺的用户。云防火墙仅专业版支持按需购买。 本文将介绍按需计费CFW云防火墙的计费规则。 适用场景 按需计费适用于具有不能中断的短期、突增或不可预测的应用或服务,例如电商抢购、临时测试。 适用计费项 服务版本
配置防护规则放行指定EIP的入方向流量 配置合适的防护规则能有效地帮助您对云上资产与互联网之间的流量进行精细化管控,防止内部威胁扩散,增加安全战略纵深。 本文指导您通过标准版防火墙配置防护规则实现放行指定弹性公网IP(EIP)的入方向流量,帮助您快速精细化管控云上资产的流量。 操作流程
什么是云防火墙 云防火墙(Cloud Firewall,CFW)是新一代的云原生防火墙,提供云上互联网边界和VPC边界的防护,包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等,同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求
等保合规能力说明 检查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处,重要网络区域与其它网络区域之间应采取可靠的技术隔离手段。 高 通过云原生VPC能力,将重要网络区域使用VPC
通过配置CFW防护规则实现两个VPC间流量防护 应用场景 VPC之间存在着大量的数据交换需求,CFW提供的VPC间流量防护能够检测和统计VPC间的通信流量数据,帮助您发现异常流量。 本文介绍如何配置云防火墙实现VPC1(172.16.0.0/16)和VPC2(172.18.0.0/
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
