原因一：非CFW造成的流量中断 登录 云防火墙 控制台，执行以下步骤： 关闭防护。 EIP流量故障：关闭CFW对业务中断的EIP的防护，请参见关闭EIP防护。 SNAT或VPC间访问不通：关闭VPC边界防火墙的防护，请参见关闭VPC边界防火墙。 观察业务情况。 如果业务恢复，说明是CFW拦截了业务流量，请参见原因二：防护策略阻断流量和原因三：入侵防御阻断流量排查故障。 如果业务未恢复，说明非CFW造成的流量中断，可参考常见的故障原因： 网络故障：路由配置错误，网元故障。 策略拦截：其它安全服务、网络ACL或安全组配置错误导致的误拦截。 如果您需要华为云协助排查，可提交工单。

业务流量超过防护带宽怎么办？ 如果您的实际业务流量超过已购买的防护带宽流量，可能出现限流、随机丢包、自动Bypass等现象，导致您的部分业务在一定时间内不可用、卡顿、延迟等。 如果出现这种情况，您需要及时根据实际业务情况购买扩展包来提供足够的防护带宽。如果您的业务流量浮动较大，建议参考“总览”页面中的“运营看板”模块，根据“出方向95带宽”或“入方向95带宽”的最大值购买。 购买扩展包请参见变更扩展包。 云防火墙支持设置流量超额预警，当业务流量达到已购买带宽规格的一定比例时，将发送告警通知，设置告警通知请参见告警通知。 95带宽：系统每个周期统计1个带宽值，将某段时间内的带宽值进行降序排列，去掉带宽数值最高的前5%的值，剩余的最高带宽即为95带宽。 例如：出方向95带宽为100bps，则在某段时间（例如24小时）内，带宽值经过降序排列并去掉最高的5%的值后，剩余的最高带宽为100bps。 父主题： 网络流量

防护流量 入云流量：从互联网流入云防火墙方向的流量，例如，从公网下载资源到云内服务器。 出云流量：从云防火墙流出到互联网方向的流量，例如，云内服务器对外提供服务，外部用户下载云内的资源。 防护带宽：所有经过云防火墙防护的业务带宽。 互联网边界防护带宽：所有经过云防火墙防护的EIP的流量总和最大值，按照入云流量（入流量）或出云流量（出流量）的最大值取值。 VPC边界防护带宽：所有经过云防火墙防护的VPC的流量总和最大值。

多账号统一管控 云防火墙提供对多个账号资源的统一防护，全面保护网络边界安全，提升运维管理效率。 弹性公网IP（EIP）：云防火墙通过组织（Organizations）服务，设立组织管理员/委托管理员，集中管理多个账号下的EIP，具体操作请参见使用CFW跨账号防护EIP资源。 图1 跨账号防护EIP 虚拟私有云（VPC）：云防火墙通过企业路由器（ER）服务关联多个账号的VPC，统一防护VPC资源，具体操作请参见使用CFW跨账号防护VPC资源。 图2 跨账号防护VPC

准备工作 在购买云防火墙之前，请先 注册华为账号 并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证，请忽略此步骤。 仅在购买或使用中国大陆云服务区的资源时，需要实名认证。 购买包周期资源时，请保证账户有足够的资金，防止购买云防火墙失败。具体操作请参见账户充值。 请确保已为账号赋予相关CFW权限。具体操作请参见创建用户组并授权使用CFW。 表1 CFW系统角色 角色名称 描述 类别 依赖关系 CFW FullAccess 云防火墙服务的所有权限。 系统策略 无 CFW ReadOnlyAccess 云防火墙服务的只读权限。 系统策略 无

操作流程 操作步骤 说明 准备工作 注册华为账号、开通华为云，为账户充值、赋予CFW权限。 步骤一：购买标准版云防火墙 购买CFW，选择防护的区域、版本规格（本文以标准版为例）等信息。 步骤二：开启EIP的防护 在CFW上对需要防护的EIP开启防护，使流量经过防火墙。 步骤三：将入侵防御模式设置为观察模式 “观察模式”下，防火墙检测到攻击事件时记录到“攻击事件日志”中，不做拦截，避免出现误拦截造成流量中断。 步骤四：定期通过攻击事件日志查看是否存在误拦截可能 查看攻击事件日志，排查是否有被误判的正常流量，记录对应的“规则ID”。 步骤五：调整拦截的IPS规则并将入侵防御模式设置为拦截模式 调整误判规则的防护动作，将入侵防御模式修改至拦截模式（本文以“拦截模式-中等”为例）。 步骤六：通过攻击事件日志查看防护效果 查看攻击事件日志，确认正常流量是否被放行。

步骤四：添加防护规则——放行访问指定EIP的入方向流量 在“访问策略管理”页面的“防护规则”页签中，单击“添加”，在弹出的“添加防护规则”中，填写以下参数。 图2 放行指定IP 参数 示例 参数说明 方向 外-内（表示入方向流量） 选择流量的方向： 外-内：互联网访问云上资产（EIP）。 内-外：云上资产（EIP）访问互联网。 源 Any 设置会话发起方。 目的 xx.xx.xx.1 设置会话接收方。 服务 Any 设置协议类型、源端口和目的端口。 应用 Any 设置针对应用层协议的防护策略。 动作 放行 设置流量经过防火墙时的处理动作。 放行：防火墙允许此流量转发。 阻断：防火墙禁止此流量转发。 策略优先级 置顶（至少需高于上一条阻断规则） 设置该策略的优先级： 置顶：表示将该策略的优先级设置为最高。 移动至选中规则后：表示将该策略优先级设置到某一规则后。 单击“确认”，完成配置防护规则。

准备工作 在购买云防火墙之前，请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证，请忽略此步骤。 仅在购买或使用中国大陆云服务区的资源时，需要实名认证。 购买包周期资源时，请保证账户有足够的资金，防止购买云防火墙失败。具体操作请参见账户充值。 请确保已为账号赋予相关CFW权限。具体操作请参见创建用户组并授权使用CFW。 表1 CFW系统角色 角色名称 描述 类别 依赖关系 CFW FullAccess 云防火墙服务的所有权限。 系统策略 无 CFW ReadOnlyAccess 云防火墙服务的只读权限。 系统策略 无

操作流程 操作步骤 说明 准备工作 注册华为账号、开通华为云，为账户充值、赋予CFW权限。 步骤一：购买标准版云防火墙 购买CFW，选择防护的区域、版本规格（本文以标准版为例）等信息。 步骤二：开启指定EIP的防护 在CFW上对需要防护的EIP开启防护，使流量经过防火墙。 步骤三：添加防护规则——阻断所有入方向流量 配置一条阻断所有入方向流量的防护规则，并将它优先级置于最低。 步骤四：添加防护规则——放行访问指定EIP的入方向流量 配置一条放行指定EIP（本文以xx.xx.xx.1为例）入方向流量的防护规则，并将它优先级设置在阻断规则之上。 步骤五：通过访问控制日志查看命中详情 查看防护规则是否生效。

防护策略配额限制 防护规则 一个防火墙实例最多添加20,000条防护规则。 黑白名单 一个防火墙实例最多添加2,000条黑名单。 一个防火墙实例最多添加2,000条白名单。 成员组 IP地址组 每个防火墙实例下最多添加3,800个IP地址组。 每个IP地址组中最多添加640个IP地址成员。 每个防火墙实例下最多添加30,000个IP地址。 服务组 每个防火墙实例下最多添加900个服务成员。 每个防火墙实例下最多添加512个服务组。 每个服务组中最多添加64个服务成员。 域名 组 基础版仅支持应用型域名组。 域名组中所有域名被“防护规则”引用最多40,000次，泛域名（例如：*.example.com）被“防护规则”引用最多2000次。 应用域名组（七层协议解析） 每个防火墙实例下最多添加500个域名组。 每个防火墙实例下最多添加2500个域名成员。 每个应用域名组中最多添加1500个域名成员。 网络域名组（四层协议解析） 每个防火墙实例下最多添加1000个域名成员。 每个网络域名组中最多添加15个域名成员。 每个域名组最多支持解析1500条IP地址。 每个域名最多支持解析1000条IP地址。

CFW使用限制 仅支持对部署在华为云的业务提供防护，不支持 智能边缘云IEC 的业务，也不支持跨云使用。 支持弹性公网IP EIP的流量防护，不支持全域弹性公网IP G-EIP、API网关APIG绑定的EIP的流量防护。 购买的云防火墙只能在当前选择的区域使用，如需在其它区域使用，请切换到对应区域进行购买。有关支持购买CFW的区域信息，请参见功能总览。 VPC边界流量防护功能依赖企业路由器ER服务引流，使用该功能时，需确保账号下至少有一个企业路由器。 云防火墙不支持防护中文域名。 标准版旁路引擎已于2023年1月停止销售，相关功能在此之后停止演进，该版本不支持 云监控服务 CES、查看IPS库或修改IPS动作、日志存储至 云日志服务LTS 、病毒防御（专业版）、防护泛域名等功能。如需使用以上功能建议切换为直路引擎。

等保合规能力说明 检查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其它网络区域之间应采取可靠的技术隔离手段。 高 通过云原生VPC能力，将重要网络区域使用VPC隔离，不同重要级别的VPC之间的业务互访，使用云防火墙CFW实现VPC间业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界和VPC边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向和东西向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 产品功能 应能够对非授权设备私自连到内部网络的行为进行限制或检查。 中 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 访问控制策略概述 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨VPC流量的应用协议、内容的访问控制。 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计功能 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其它与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供 日志分析 功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。

攻击防御 攻击防御提供网络攻击防护、敏感目录扫描、拦截病毒文件等功能。 表6 攻击防御功能介绍 功能名称 功能描述 基础版（新）① 标准版 专业版（包周期） 专业版（按需） 入侵防御（IPS） 结合多年攻防积累的经验规则，针对访问流量进行检测与防护，有效保护您的资产。 根据内置的IPS规则库，提供威胁检测和 漏洞扫描 。支持检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击；以及检测是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其它可疑行为。 基础防御规则库支持手动修改防护动作。 基础防御规则库支持通过“规则ID”、“特征名称”、“风险等级”、“更新年份”、“CVE编号”、“攻击类型”、“规则组”、“当前动作”查询规则信息。 × √ √ √ 虚拟补丁 在网络层级为IPS提供热补丁，实时拦截高危漏洞的远程攻击行为，同时避免修复漏洞时造成业务中断。 × √ √ √ 自定义IPS特征库 当内置的IPS规则库无法满足需求时，CFW支持自定义IPS特征规则，添加后，CFW将基于签名特征检测数据流量是否存在威胁。 自定义IPS特征支持添加HTTP、TCP、UDP、POP3、SMTP、FTP的协议类型。 × × √ √ 敏感目录、反弹Shell 敏感目录扫描防御：防御对用户主机敏感目录的扫描攻击。 反弹Shell检测防御：防御网络上通过反弹shell方式进行的网络攻击。 × √ √ √ 病毒防御（AV） 通过病毒特征检测来识别和处理病毒文件，避免由病毒文件引起的数据破坏、权限更改和系统崩溃等情况发生，有效保护您的业务安全。 病毒防御功能支持检测HTTP、SMTP、POP3、FTP、IMAP4、SMB的协议类型。 × × √ √ 安全看板 快速查看攻击防御功能的防护信息，及时调整IPS防护。 × √ √ √

系统管理 系统管理提供告警通知、DNS配置、安全报告等功能，帮助您管理和维护云上资产的安全，及时发现异常情况。 表9 系统管理功能介绍 功能名称 功能描述 基础版（新）① 标准版 专业版（包周期） 专业版（按需） 告警通知 您可以通过云防火墙服务对攻击信息、流量超额预警等事件进行通知设置。开启告警通知后，CFW可将触发的信息通过您设置的接收通知方式（例如邮件或短信）发送给您。 √（仅支持流量超额预警） √ √ √ 网络抓包 帮助您定位网络故障和攻击。 × × √ √ 多账号管理 一个账号下的云防火墙实例同时防护多个账号的EIP资源。 × √（20个 ） √（50个） √（20个） DNS配置 通过域名服务器解析并下发IP地址。 × √ √ √ 安全报告 生成日志报告，及时掌握资产的安全状况数据。 × √ √ √

日志审计 日志审计支持记录攻击事件的详细信息、访问控制策略的命中详情以及经过防火墙的所有流量。 表8 日志审计功能介绍 功能名称 功能描述 基础版（新）① 标准版 专业版（包周期） 专业版（按需） 日志查询 防火墙提供7天的日志记录，助您事件追溯和深入分析。 √（仅支持访问控制日志和流量日志） √ √ √ 日志管理 将日志转储到华为云的 云日志 服务（Log Tank Service，简称LTS）中，支持查看1~365天的日志记录。 × √ √ √