云服务器内容精选
-
约束条件 最多添加20000条防护规则。 单条防护规则最多关联5条服务组。 每条防护规则最多关联2条“IP地址组”。 单条防护规则最多添加20个源/目的IP地址。 防护域名时不支持添加中文域名格式。 仅入方向规则(“方向”配置为“外-内”)的“源”地址支持配置“预定义地址组”。 开启NAT64防护后,使用IPv6访问时,请注意将198.19.0.0/16的网段放通。因为NAT64会将源IP转换成198.19.0.0/16的网段进行ACL访问控制
-
服务版本差异 云防火墙提供了“基础版”、“标准版”、“专业版”供您使用,包括访问控制、入侵防御、流量分析以及日志审计等功能。 详细的功能介绍请参见功能特性。 具体差异请参见表 版本差异说明。 标识说明: √:表示在当前版本中支持。 ×:表示在当前版本中不支持。 ①:基础版有新老两个版本,老版本(免费)已在2023年中停止购买,新版本(计费)是2024年新发售的更新功能后的版本,表 版本差异说明中是新基础版支持的功能特性。 表1 版本差异说明 功能 基础版(新)① 标准版 专业版 防护规格 防护互联网边界公网IP数 20个(不可扩容) 20个(可扩容) 50个(可扩容) 防护互联网边界的流量峰值 10Mbps(不可扩容) 10Mbps(可扩容) 50Mbps(可扩容) 防护的VPC数量 × × 2个(可扩容) 防护的VPC间最大流量峰值 × × 200Mbps(随VPC数量扩容) 访问流量控制 公网资产ACL访问控制(基于IP、域名、域名组、地理位置等) √(仅支持通过Host或SNI字段匹配策略) √ √ 南北向流量防护,统一隔离防护云上资产在互联网的暴露风险(含EIP、ECS公网IP等) √ √ √ 南北向流量审计,日志查询 √(仅支持访问控制日志和流量日志) √ √ 东西向流量防护,VPC间的资产保护、全流量分析 × × √ 东西向流量监控,实时获取VPC间流量数据 × × √ 防护策略 入侵防御IPS × √ √ 自定义IPS特征库 × × √ 虚拟补丁 × √ √ 敏感目录、反弹Shell × √ √ 病毒防御AV × × √
-
责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身,也包括运维运营安全,以及更广义的安全合规遵从。 租户:负责云服务内部的安全,安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API 网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
-
服务韧性 华为云数据中心按规则部署在全球各地,所有数据中心都处于正常运营状态,无一闲置。数据中心互为灾备中心,如一地出现故障,系统在满足合规政策前提下自动将客户应用和数据转离受影响区域,保证业务的连续性。为了减小由硬件故障、自然灾害或其他灾难带来的服务中断,华为云为所有数据中心提供灾难恢复计划。 当发生故障时,CFW的五级可靠性架构支持不同层级的可靠性,因此具有更高的可用性、容错性和可扩展性。 华为云CFW已面向全球用户服务,并在多个分区部署,同时CFW的所有管理面、引擎等组件均采用主备或集群方式部署。分区部署详情参见地区和终端节点。 父主题: 安全
-
约束条件 仅“专业版”支持VPC边界防火墙。 依赖企业路由器(Enterprise Router, ER)服务引流。 仅支持防护当前账号所属企业项目下的VPC。 如果您存在私用公网(即使用10.0.0.0/8、 172.16.0.0/12、192.168.0.0/16 以及运营商级NAT保留网段100.64.0.0/10 以外的公网网段作为私网地址段)的情况,请您提交工单进行私网网段扩容,否则云防火墙可能无法正常转发您VPC间的流量。
-
配置原理 您需要按以下步骤操作: 创建防火墙(以命名vpc-cfw-er为例)并关联子网,请参见创建防火墙。 如您新创建了企业路由器,请参见配置企业路由器(新创建企业路由器),分解操作如下: 配置所有VPC(包括防火墙VPC和需要互联的VPC)的路由转向企业路由器,请参见3 将路由转向企业路由器。 创建所有VPC(包括防火墙VPC和需要互联的VPC)的连接,请参见5 添加连接。 创建两个路由表(以er-RT1和er-RT2为例),请参见6 创建两个路由表。 配置关联路由表er-RT1将流量从VPC传输到云防火墙,请参见7 配置路由表er-RT1。 配置传播路由表er-RT2将流量从云防火墙传输到VPC,请参见8 配置路由表er-RT2。 开启防护前,需验证流量只通过企业路由器时正常通信,请参见配置验证方法。 如您企业路由器已产生流量,请参见配置企业路由器(已有企业路由器),分解操作如下: 创建防火墙VPC(vpc-cfw-er)的连接,请参见4. 添加防火墙连接。 从默认路由表(er-RT1)中删除自动生成的防火墙VPC(vpc-cfw-er)的关联和传播功能,请参见删除关联和传播。 创建一个新的路由表(er-RT2),并配置关联和传播功能,请参见6. 创建路由表er-RT2和7 配置路由表er-RT2。 配置默认路由表(er-RT1)的静态路由及删除表中所有的传播,请参见8. 配置默认路由表er-RT1。 (可选)设置传播路由表为er-RT2后,添加新VPC只需添加连接,无需其他配置,设置传播路由表请参见9 更改传播路由表。 图3 流量走势图
-
配置策略 建议您创建一条“优先级”“置顶”的“放行”策略,放行所有回源IP;配置后CFW仍会对流量进行检测,进一步保证您的流量安全。 如果将回源IP加入“白名单”;配置后,这些流量将被直接放通,CFW不再进行任何防护。 请避免将回源IP加入黑名单或阻断的防护策略中,否则将会阻断来自这个IP的所有流量,影响您的业务。 添加防护规则请参见添加防护规则。 设置白名单请参见管理黑/白名单。 CFW的防护顺序请参见云防火墙的防护顺序是什么? 获取Web应用防火墙的回源IP,请参见步骤二:放行WAF回源IP 获取DDoS高防的回源IP,请参见如何查看高防回源IP段?
-
应用场景 当购买了华为云的其他产品后,业务流量会经过多道防护,可能会存在开启反向代理导致IP地址发生转换的场景。 在对入云流量进行防护时,如果CFW前存在反向代理服务(即购买了CDN、DDoS高防或云模式WAF),需配置放行回源IP策略,请参见配置策略,购买独享模式WAF或ELB模式WAF时,按业务需要配置即可。 购买独享模式WAF时,有以下两种防护场景: 在CFW上对公网ELB绑定的EIP开启防护: 此时受到来自客户端的攻击,CFW会将攻击事件打印在“攻击事件日志”的“互联网边界防火墙”页签中。 事件的“目的IP”为公网ELB绑定的EIP地址,“源IP”为客户端的IP地址。 开启VPC边界防火墙,并关联了源站所在VPC,未对ELB的EIP开启防护: 此时受到来自客户端的攻击,CFW会将攻击事件打印在“攻击事件日志”的“VPC边界防火墙”页签中。 事件的“目的IP”为源站服务器的私网IP,“源IP”为流量入口(如Nginx服务器)的私网IP。 流量经过反向代理后,源IP被转换为回源IP,此时如果受到外部攻击,CFW无法获取到攻击者的真实IP地址,您可通过X-Forwarded-For字段获取真实IP地址,请参见查看X-Forwarded-For。
-
导入参数示例——内到外的阻断规则 原规则 rule id:123 src-zone:trust dst-zone:untrust src-addr:0.0.0.0/0 dst-addr:xx.xx.xx.9 service :SSH action:deny name:example123 转换后填写规则 顺序:1 规则名称:example123 防护规则:EIP防护 方向:内到外 动作:阻断 规则地址类型:IPv4 启用状态:禁用 描述:一个样例 源地址类型:IP地址 源IP地址:0.0.0.0/0 目的地址类型:IP地址 目的IP地址:xx.xx.xx.9 服务类型:服务 协议/源端口/目的端口:TCP/1-65535/22
-
示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予CFW只读权限“CFW ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择云防火墙,进入CFW主界面,单击“购买云防火墙”,尝试购买云防火墙,如果无法购买云防火墙(假设当前权限仅包含CFW FullAccess),表示“CFW FullAccess”已生效。 在“服务列表”中选择除CFW外(假设当前策略仅包含“CFW FullAccess”)的任一服务,若提示权限不足,表示“CFW FullAccess”已生效。
-
前提条件 给用户组授权之前,请您了解用户组可以添加的CFW权限,并结合实际需求进行选择,CFW支持的系统权限如表1所示。若您需要对除CFW之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。 表1 CFW系统角色 角色名称 描述 类别 依赖关系 CFW FullAccess 云防火墙服务的所有权限。 系统策略 无 CFW ReadOnlyAccess 云防火墙服务的只读权限。 系统策略 无
-
约束条件 仅“专业版”支持VPC边界防火墙。 依赖企业路由器(Enterprise Router, ER)服务引流。 仅支持防护当前账号所属企业项目下的VPC。 若您存在私用公网(即使用10.0.0.0/8、 172.16.0.0/12、192.168.0.0/16 以及运营商级NAT保留网段100.64.0.0/10 以外的公网网段作为私网地址段)的情况,请您提交工单进行私网网段扩容,否则云防火墙可能无法正常转发您VPC间的流量。
-
配置及使用流程 VPC边界防火墙企业路由器模式因版本依赖,在不同局点上有着“新版”和“旧版”两个版本。 若您界面版本为新版,配置流程请参见表 企业路由器模式(新版)配置及使用流程,配置文档请参见企业路由器模式(新版)。 若您界面版本为旧版,配置流程请参见图 企业路由器关联模式配置流程,配置文档请参见企业路由器模式(旧版)。 新版和旧版判断方式: 通过创建VPC边界防火墙的界面区分,界面如图 VPC边界防火墙(新版)所示为新版VPC边界防火墙,界面如图 创建VPC间防火墙(旧版)所示为旧版VPC边界防火墙。 图1 VPC边界防火墙(新版) 图2 创建VPC边界防火墙(旧版) 表1 企业路由器模式(新版)配置及使用流程 操作步骤 操作说明 步骤一:创建VPC边界防火墙 为VPC边界防火墙规划用于引流的网段。 说明: 引流VPC不会创建在您的账号上,即不占用您的防护VPC个数。 步骤二:添加VPC连接 为防护VPC添加连接,建立VPC与ER之间的网络互通。 步骤三:创建并配置路由表 在企业路由器中创建两个路由表作为关联路由表和传播路由表,将VPC和防火墙之间的流量互相传输。 步骤四:修改VPC的路由表 为VPC添加一条指向企业路由器的路由。 (可选)连通性验证 完成配置后,建议您优先测试网络连通性,再开启防护。 步骤五:开启/关闭VPC边界防火墙 开启或关闭VPC间流量防护。 (可选)添加防护VPC 需要新增防护的VPC时,执行本节操作。 下图为企业路由器模式(旧版)的配置流程: 图3 企业路由器模式配置流程
-
创建说明 创建防火墙时为了引流需选择企业路由器和配置IPV4网段。 企业路由器用于引流,选择时需满足以下限制: 没有与其他防火墙实例关联。 需归属本账号,非共享企业路由器。 需关闭“默认路由表关联”、“默认路由表传播”和“自动接收共享连接”功能。 网段用于将流量转发至云防火墙,选择时需注意以下限制: 该网段不可与需要开启防护的私网网段重合,否则会导致路由冲突。 10.6.0.0/16-10.7.0.0/16网段为防火墙保留网段,不可使用。
-
导入规则模板参数-VPC防护规则表(VPC边界防护规则) 表2 VPC防护规则表参数说明 参数名称 参数说明 取值样例 顺序 定义规则序号。 1 规则名称 自定义规则名称。 只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成,且名称长度不能超过255个字符。 test 动作 选择“放行”或者“阻断”。设置防火墙对通过流量的处理动作。 放行 启用状态 选择该策略是否立即启用。 启用:表示启用,规则生效; 禁用:表示关闭,规则不生效。 启用 描述 自定义规则描述。 test 源地址类型 设置访问流量中发送数据的地址类型。 IP地址:支持设置单个IP地址、连续多个IP地址、地址段。 IP地址组:支持多个IP地址的集合。 IP地址 源IP地址 “源地址类型”选择“IP地址”时,需填写“源IP地址”。 支持以下输入格式: 单个IP地址,如:192.168.10.5 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10 地址段,使用“/”隔开掩码,如:192.168.2.0/24 192.168.10.5 源地址组名称 “源地址类型”选择“IP地址组”时,需填写“源地址组名称”。 支持以下输入格式; 可输入中文、字母、数字、下划线、连接符或空格。 名称长度不能超过255个字符。 s_test 目的地址类型 选择访问流量中的接收数据的地址类型。 IP地址:支持设置单个IP地址、连续多个IP地址、地址段。 IP地址组:支持多个IP地址的集合。 IP地址组 目的IP地址 “目的地址类型”选择“IP地址”时,需填写“目的IP地址”。 目的IP地址支持以下输入格式: 单个IP地址,如:192.168.10.5 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10 地址段,使用“/”隔开掩码,如:192.168.2.0/24 192.168.10.6 目的地址组名称 “目的地址类型”选择“IP地址组”时,需填写“目的地址组名称”。 支持以下输入格式; 可输入中文、字母、数字、下划线、连接符或空格。 名称长度不能超过255个字符。 d_test 服务类型 选择服务或服务组。 服务:支持设置单个服务。 服务组:支持多个服务的集合。 服务 协议/源端口/目的端口 设置需要限制的类型。 协议类型当前支持:TCP、UDP、ICMP、Any。 设置需要开放或限制的源端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 设置需要开放或限制的目的端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 TCP/443/443 服务组名称 自定义服务组名称。 只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成,且名称长度不能超过255个字符。 service_test 分组标签 用于标识规则,可通过标签实现对安全策略的分类和搜索。 k=a
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格