检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
查看防护规则 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 在左侧导航栏中,选择“访问控制 > 访问策略管理”,进入“访问策略管理
访问控制策略概述 开启防护后,云防火墙默认放行所有流量,配置合适的访问控制策略能有效地帮助您对内部服务器与外网之间的流量进行精细化管控,防止内部威胁扩散,增加安全战略纵深。 访问控制策略类型 访问控制策略分为“防护规则”和“黑/白名单”两类功能,区别如表 防护规则和黑/白名单的区
防护NAT的流量,可以配置私网IP。 EIP防护 方向 选择防护方向: 外-内:外网访问内部服务器。 内-外:客户服务器访问外网。 内到外 动作 选择“放行”或者“阻断”。设置防火墙对通过流量的处理动作。 放行 规则地址类型 选择“IPv4”或者“IPv6”。设置防护的IP类型。 IPv4 启用状态 选择该策略是否立即启用。
身份认证与访问控制 CFW对接了统一身份认证服务(Identity and Access Management,IAM)服务。 IAM权限是作用于云资源的,IAM权限定义了允许和拒绝的访问操作,以此实现云资源权限访问控制。通过IAM,可以将用户加入到一个用户组中,并用策略来控制他们对华为云资源的访问范围。
的作用。 周期计划 添加周期计划 (可选)设置后,规则将在每周的固定时间段生效。 绝对计划 开始时间 设置规则生效的时间。 结束时间 (可选)设置规则失效的时间。 单击“确认”,完成添加。 后续操作 时间计划添加完成后需在防护规则里设置才会生效,添加防护规则请参见通过添加防护规则拦截/放行流量。
编辑黑/白名单 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 在左侧导航栏中,选择“访问控制 > 访问策略管理”,进入“访问策略管理
(可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 在左侧导航栏中,选择“访问控制 > 访问策略管理”,进入“访问策略管理”页面。 在需要调整优先级的防护规则所在行的“操作”列,单击“设置优先级”。 选择“置顶”,或“移动至选中规则后”。 选择置顶,表示将该策略设置为最高优先级。
访问控制策略管理 导入/导出防护策略 调整防护规则的优先级 管理防护规则 管理黑白名单 管理时间计划 父主题: 配置访问控制策略管控流量
云防火墙支持哪些维度的访问控制? 云防火墙当前支持基于五元组、IP地址组、服务组、域名、应用、黑名单、白名单设置ACL访问控制策略;也支持基于IPS(intrusion prevention system,入侵防御系统)设置访问控制。IPS支持观察模式和阻断模式,当您选择阻断模式
示例二:拦截某一地区的访问流量 本文提供拦截某一地区的访问流量的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 拦截某一地区的访问流量 假如您需要拦截所有来源“北京”地区的访问流量,可以参照以下参数设置防护规则。 图1 拦截北京地区的访问流量 父主题: 通过配置防护规则拦截/放行流量
拦截海外地区的访问流量 应用场景 海外IP地址往往是黑客和恶意攻击者的来源,如果您希望限制所有海外地区的IP地址访问云资源,您可以通过配置互联网边界防护规则,设置目的类型为地域的方式实现防护。 本文介绍如何通过CFW对云资源进行精细化管控,实现拦截海外地区的访问流量。 防护原理
com”的80端口和443端口的访问流量,设置参数如下,其余参数可根据您的部署进行填写。 将平台域名添加至应用型域名组,如图 添加某平台域名组所示。 配置两条防护规则: 一条拦截所有流量,如图 拦截所有流量所示,优先级置于最低。 一条放行EIP对某平台的流量访问,如图 放行IP对某平台的访问流量所示,优先级设置最高。
示例一:放行入方向中指定IP的访问流量 本文提供放行入方向中指定IP访问流量的配置示例,更多参数配置请参见通过添加防护规则拦截/放行流量。 单独放行入方向中指定IP的访问流量 配置两条防护规则,一条拦截所有流量,如图 拦截所有流量所示,优先级置于最低,一条单独放行指定IP的流量访问,如图 放行指
云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 在左侧导航栏中,选择“访问控制 > 访问策略管理”,进入“访问策略管理”界面。切换防护对象页签后,选择“黑名单”或“白名单”页签。 单击“添加”,设置地址方向、IP地址、协议类型、端口,填写规则请参见表
80端口的流量,如图 放行域名的访问流量所示,优先级设置最高。 方向:外-内 源:Any 目的:选择“IP地址”,填写xx.xx.xx.1。 服务:TCP/1-65535/80 应用:Any 动作:放行 图2 放行xx.xx.xx.1 80端口的访问流量 通过访问控制日志查看命中详情。 在左侧导航栏中,选择“日志审计
查看VPC间访问流量 VPC间访问展示当前防火墙实例防护的VPC间流量数据。 前提条件 需配置并开启VPC边界防火墙,操作步骤请参见开启VPC边界流量防护。 规格限制 基础版不支持流量分析功能。 查看VPC间访问流量 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规
String 用户Token。可通过如何获取用户Token获取。 响应参数 状态码: 200 表4 响应Body参数 参数 参数类型 描述 data data object 查询访问控制日志返回数据 表5 data 参数 参数类型 描述 total Integer 查询访问控制日志记录总数
坏系统访问控制机制的行为,降低此类攻击的风险。 什么是访问控制攻击 访问控制攻击是指攻击者通过利用系统或应用中的访问控制漏洞,以非法方式获取或提升其在系统或应用中的访问权限,执行未授权的操作或访问敏感资源。 常见的访问控制攻击包括: 越权访问攻击 垂直越权:普通用户能够访问或执行只有管理员才具有权限的资源或功能。
仅放行云内资源对指定域名的访问流量 应用场景 为了防止敏感数据泄露或受到外部恶意攻击,需要限制云内资源仅能访问特定公网域名。 本文介绍如何通过CFW对云资源进行精细化管控,实现放行所有EIP对指定域名(本文以泛域名*.example.com为例)的80端口和443端口的访问流量。 操作步骤
配置访问控制策略管控流量 访问控制策略概述 通过配置防护规则拦截/放行流量 通过添加黑白名单拦截/放行流量 通过策略助手查看防护信息 访问控制策略管理 IP地址组管理 域名组管理 服务组管理
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
