检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
容器防火墙概述 容器防火墙是一种为容器环境提供的防火墙服务,支持对容器集群内部与外部的网络流量进行控制和拦截,防止恶意访问和攻击。 约束与限制 容器防火墙功能仅企业主机安全容器版支持,购买企业主机安全的操作,请参见购买主机安全防护配额。 支持防护的容器网络模型如下: CCE集群:容器隧道网络模型、云原生网络2
云防火墙如何收费和计费? 云防火墙支持包年/包月(预付费)和按需计费(后付费)两种计费方式,详细信息请参见产品价格详情。 其中基础版不支持扩容,标准版支持扩容防护公网IP数和互联网边界流量峰值。 专业版支持扩容防护公网IP数、互联网边界流量峰值和防护VPC数。 有关CFW详细的计费说明,请参见计费说明。
配置天关/防火墙上线 前提条件 已通过华为乾坤控制台或华为乾坤APP完成设备添加,具体操作请分别参见: 华为乾坤控制台:设备。 华为乾坤APP:使用华为乾坤APP(首页)。 天关/防火墙款型 边界防护与响应服务需要在客户侧部署天关或防火墙才能正常使用。服务配套的天关和防火墙型号,请
单击管理控制台左上角的,选择区域。 在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 在左侧导航栏中,选择“访问控制 > 对象组管理”,进入“对象组管理”界面。 在“IP地址组”页签,单击“添加I
在左侧导航栏中,单击左上方的,选择“安全与合规 > 云防火墙”,进入云防火墙的总览页面。 (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 在左侧导航栏中,选择“攻击防御 > 安全看板”,进入“安全看板”页面。 在页面上方,选择“互联网边界”或“VPC边界”页签。 查看防火墙实例下防护规则的统计信息,您可以在下拉框中选择查询时间。
在站点配置页面,选择左侧导航栏的“设备配置 > 防火墙 > 设备列表”。 选择防火墙设备,单击设备列表中按钮进入设备配置页面,选择“上行链路管理”页签。 根据组网场景选择设备的链路联动分析策略模式。本场景采用“主备模式”,只需配置主链路端口的链路质量。 创建IP-Link。 防火墙IP-Link会自动进行
应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 当检测到攻击
在站点配置页面,选择左侧导航栏的“设备配置 > 防火墙 > 设备列表”。 选择防火墙设备,单击设备列表中按钮进入设备配置页面,选择“上行链路管理”页签。 根据组网场景选择设备的链路联动分析策略模式。本场景采用“主备模式”,只需配置主链路端口的链路质量。 创建IP-Link。 防火墙IP-Link会自动进行
资产上报日志到天关/防火墙 允许 logAudit-local-cloud local trust any any tcp: 日志上报到云端 允许 单击右上角“保存”,在系统显示界面单击“确定”,保存配置以避免设备重启后配置丢失。 图31 保存配置 父主题: 企业边界防火墙单机组网(三层)
配置防火墙业务 配置上行链路管理 登录华为乾坤控制台。 双击控制台首页地图上“test_fw”站点,在站点首页单击右上角“站点配置”。 在站点配置页面,选择左侧导航栏的“设备配置 > 防火墙 > 设备列表”。 选择防火墙设备,单击设备列表中按钮进入设备配置页面,选择“上行链路管理”页签。
为什么访问控制日志页面数据为空? 访问控制日志展示的是ACL防护策略匹配到的流量,您需要配置ACL策略才能查看访问控制日志。 添加防护规则请参见添加防护规则。 通过云防火墙的所有流量记录请查看流量日志。 攻击事件记录请查看攻击事件日志。 父主题: 故障排查
添加静态路由,指向防火墙:单击“路由”页签,单击“创建路由”,参数详情见表 创建路由参数说明。 图1 创建路由 表3 创建路由参数说明 参数名称 参数说明 目的地址 设置目的地址。 0.0.0.0/0:VPC的所有流量都会经过云防火墙防护 网段:该网段的流量会经过云防火墙防护 黑洞路由
配置网络 在企业路由器中配置VPC连接 在ECS中配置内核参数及路由 父主题: 通过企业路由器和第三方防火墙实现多VPC互访流量清洗
Query参数 参数 是否必选 参数类型 描述 object_id 是 String 防护对象ID,是创建云防火墙后用于区分互联网边界防护和VPC边界防护的标志id,可通过调用查询防火墙实例接口获得,通过返回值中的data.records.protect_objects.object_id(
String 项目ID, 可以从调API处获取,也可以从控制台获取。项目ID获取方式 fw_instance_id 是 String 防火墙id,可通过防火墙ID获取方式获取 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String
如何配置端口映射? 问题描述 公网访问“弹性云服务器1”的弹性公网IP和某个端口,可以自动跳转到“弹性云服务器2”的弹性公网IP和某个端口。 Windows操作系统 假定需要通过“弹性云服务器1”(192.168.10.43)的8080端口连接“弹性云服务器2”(192.168.10
同一账号可以购买多个Web应用防火墙吗? 主账号与子账号的权限有哪些区别? Web应用防火墙是否支持多个账号共享使用? WAF是如何计算域名个数的? 防护规则条数不够用时,如何处理? 如果流量超过Web应用防火墙的业务请求限制,该如何处理? QPS超过当前WAF版本支持的峰值时有什么影响?
Query参数 参数 是否必选 参数类型 描述 object_id 是 String 防护对象id,是创建云防火墙后用于区分互联网边界防护和VPC边界防护的标志id,可通过调用查询防火墙实例接口获得,通过返回值中的data.records.protect_objects.object_id(
购买及变更云防火墙 购买包年/包月云防火墙 购买按需计费云防火墙 升级云防火墙版本 变更云防火墙扩展包数量
容器防火墙 容器防火墙概述 设置网络防御策略(容器隧道网络模型集群) 设置网络防御策略(VPC网络模型集群) 设置网络防御策略(云原生网络2.0模型集群) 父主题: 容器防御
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
