เปิดใช้งานการป้องกัน CFW ใน 3 ขั้นตอนง่าย ๆ
1. ซื้อ CFW
1) เข้าสู่ระบบ Huawei Cloud console (คอนโซล Huawei Cloud) ในหน้าคอนโซล เลือก Security Compliance (การปฏิบัติตามข้อกำหนดด้านความปลอดภัย) > Cloud Firewall
2) หากคุณใช้ CFW เป็นครั้งแรก ให้คลิก Buy CFW (ซื้อ CFW) ในหน้า Buy CFW (ซื้อ CFW) เลือกรุ่นและแพ็คเกจเสริมและระยะเวลาที่คุณต้องการ
- หมายเหตุ
1) CFW มีทั้งรุ่น Standard และรุ่น Professional สำหรับรายละเอียด โปรดดูที่ รุ่น
2) หากเลือกต่ออายุอัตโนมัติ ระบบจะสร้างคำสั่งต่ออายุโดยอัตโนมัติตามระยะเวลาการสมัครใช้งาน และต่ออายุบริการก่อนหมดอายุ

2. เปิดใช้งานการป้องกัน Elastic IP (EIP)
1) ในบานหน้าต่างนำทาง เลือก Assets (แอสเซท) > EIP หน้า EIP จะปรากฏ ข้อมูล EIP จะได้รับการอัปเดตไปยังรายการโดยอัตโนมัติ
2) ในแถวของ EIP เป้าหมาย ให้คลิก Enable Protection (เปิดใช้งานการป้องกัน) ในคอลัมน์ การดำเนินการ
3) หลังจากเปิดใช้งานการป้องกันแล้ว Protection Status (สถานะการป้องกัน) จะเปลี่ยนเป็น Protected (ได้รับการป้องกัน)
- หมายเหตุ
หลังจากเปิดใช้งานการป้องกัน EIP แล้ว การดำเนินการเริ่มต้นของ CFW จะเป็น Allow (อนุญาต)

3. กำหนดนโยบายการควบคุมการเข้าถึง
1) ในบานหน้าต่างนำทาง เลือก Access Control (การควบคุมการเข้าถึง) > Access Policies (นโยบายการเข้าถึง)
2) คลิก Add Rule (เพิ่มกฎ) ในการแสดงผล Add Rule (เพิ่มกฎ)หน้า กำหนดค่าประเภทกฎ ชื่อกฎ แหล่งที่มา ปลายทาง บริการ การดำเนินการ และลำดับความสำคัญ
3) คลิก OK (ตกลง)
- หมายเหตุ
1) เมื่อเปิดใช้งานการป้องกัน EIP สถานะเริ่มต้นของนโยบายการควบคุมการเข้าถึงจะเป็น Allow (อนุญาต) หากคุณต้องการอนุญาต EIP เพียงไม่กี่รายการ เราแนะนำให้เพิ่ม 0.0.0.0/0 ลงในกฎการป้องกันที่มีลำดับความสำคัญต่ำที่สุดเพื่อปิดกั้นทราฟฟิกทั้งหมด
2) ถ้า Direction (ทิศทาง) ถูกตั้งค่าเป็น Outbound (ขาออก) คุณจะสามารถกำหนดค่าชื่อโดเมนหลายชื่อหรือกลุ่มชื่อโดเมนได้

แนวทางปฏิบัติแนะนำของ CFW
แนวทางปฏิบัติแนะนำของ CFW
แนวทางปฏิบัติแนะนำของ CFW
เอกสารนี้จะอธิบายวิธีใช้ CFW รวมถึงการเปิดใช้งานการป้องกัน EIP การเปิดใช้งานการป้องกันการบุกรุก การกำหนดค่าการเข้าถึง การดูข้อมูลทราฟฟิกบนเครือข่าย และการดูการตรวจสอบบันทึก
การกำหนดค่านโยบายการเข้าถึงสำหรับกลุ่มที่อยู่ IP และกลุ่มบริการ
หลังจากเชื่อมต่อวัตถุที่ได้รับการป้องกันเข้ากับ CFW แล้ว คุณสามารถกำหนดค่านโยบายการควบคุมการเข้าถึงสำหรับกลุ่มที่อยู่ IP และกลุ่มบริการ และตรวจสอบผลของนโยบายเหล่านั้นได้ ในส่วนนี้จะใช้การกำหนดค่าที่อยู่ IP และกลุ่มบริการเป็นตัวอย่างในการอธิบายวิธีการกำหนดค่านโยบายการควบคุมการเข้าถึงบริการและที่อยู่ IP แบบเป็นชุด
การกำหนดค่าไฟร์วอลล์ VPC Border
ไฟร์วอลล์ VPC Border สามารถรวบรวมสถิติเกี่ยวกับการสื่อสารข้อมูลระหว่าง VPC ซึ่งช่วยให้คุณตรวจจับการสื่อสารข้อมูลที่ผิดปกติได้ เมื่อกำหนดค่าไฟร์วอลล์ VPC Border คุณจะต้องเปิดใช้งานเครือข่ายระหว่าง CFW และ VPC หัวข้อนี้จะอธิบายวิธีการกำหนดค่าเครือข่าย
ภาพรวมการป้องกัน SNAT
CFW รุ่น Professional มีการควบคุมการเข้าถึงที่ละเอียดยิ่งขึ้น เช่น ในส่วนของทราฟฟิกที่สร้างขึ้นเมื่อใช้ที่อยู่ IP ส่วนตัวเพื่อเริ่มต้นการเข้าถึงเครือข่ายสาธารณะ หัวข้อนี้จะอธิบายวิธีการกำหนดค่า CFW รุ่น Professional เพื่อป้องกันการเข้าถึงจากที่อยู่ IP ส่วนตัวไปยังเครือข่ายสาธารณะในสถานการณ์การแปลที่อยู่เครือข่ายต้นทาง (SNAT)