检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
None 服务介绍 产品介绍 02:41 了解什么是云防火墙服务 特性讲解 互联网边界流量防护场景介绍 02:53 了解云防火墙的互联网边界流量防护场景 VPC边界流量防护场景介绍 08:54 了解云防火墙的VPC边界流量防护场景 NAT网关流量防护场景介绍 03:59 了解云防火墙的
在“防护规则”页签中,选择“NAT规则”页签,单击“添加”,在弹出的“添加防护规则”中,填写新的防护信息,填写规则请参见表2。 表2 添加防护规则-SNAT场景 参数名称 参数说明 规则类型 选择NAT规则:防护NAT网关的流量,支持配置私网IP。
图2 通过VPC防护NAT网关 NAT网关流量防护介绍视频 组网图 SNAT和DNAT的防护组网图如下: SNAT组网图 DNAT组网图 SNAT防护提供主动外联场景的细粒度访问控制,适用于NAT网关所在VPC与业务VPC隔离,并通过多个VPC/子网使用公网IP对外发起访问的场景。
步骤一:配置SNAT规则 在左侧导航栏中,选择“网络 > NAT网关”,进入“公网NAT网关”页面。 单击公网NAT网关的名称,进入“基本信息”页面,切换至“SNAT规则”页签。 单击“添加SNAT规则”,参数详情如表 添加SNAT规则所示。
云防火墙防护 开启互联网边界流量防护 开启VPC边界流量防护 开启NAT网关流量防护
通过配置CFW防护规则实现SNAT流量防护 SNAT防护概述 资源和成本规划 将VPC1和VPC-NAT接入企业路由器中 配置NAT网关 配置VPC1路由表 配置NAT防护规则
NAT网关分为以下两种场景: 防护NAT网关绑定的EIP,仅审计EIP的流量。 防护SNAT和DNAT流量(依赖VPC边界防火墙),支持溯源到私网IP。 父主题: 产品咨询
SNAT防护配置 假如您的私网IP为“10.1.1.2”,通过NAT网关访问的外部域名为“www.example.com”,您可以参照以下参数配置NAT防护,其余参数可根据您的部署进行填写: 图1 添加NAT防护规则 后续操作 查看防护效果: 策略的命中情况,整体防护概况请参见通过策略助手查看防护信息
支持,CFW支持防护当前区域、当前账号下所有的云资源(EIP、VPC、NAT网关)。 开通企业管理功能,并在购买CFW时选择了企业项目,CFW的账单会归属到该项目下,不影响资源防护。 企业通过企业项目管理业务时如何规划云防火墙的方案示例请参见使用CFW防护企业资源。
配置访问控制策略 通过防护规则拦截/放行互联网边界流量 通过防护规则拦截/放行VPC边界流量 通过防护规则拦截/放行NAT网关边界流量 示例一:放行入方向中指定IP的访问流量 示例二:拦截某一地区的访问流量 示例三:放行业务访问某平台的流量 示例四:配置SNAT的防护规则 通过黑白名单拦截
放行云内资源通过NAT网关对指定域名的访问流量请参见通过配置CFW防护规则实现SNAT流量防护。
支持的防护对象 防护类型 防护对象 相关文档 互联网边界 弹性公网IP,支持防护绑定了弹性公网IP(EIP)的资源,例如弹性云服务器(ECS)、NAT网关(NAT)、弹性负载均衡(ELB)等。
资源和成本规划 本节介绍SNAT防护中的资源和成本规划。 表1 资源说明 资源 资源说明 数量 成本说明 NAT网关(NAT Gateway) 被防护的资源。 1 具体的计费方式及标准请参考NAT网关计费说明。
开启NAT网关流量防护请参见开启NAT网关流量防护。 父主题: 系统管理
防护互联网边界中私网资产的场景,请参见通过防护规则拦截/放行NAT网关边界流量。 批量添加防护策略,请参见导入/导出防护策略。 添加策略之后的后续操作: 策略的命中情况,整体防护概况请参见通过策略助手查看防护信息,详细日志请参见访问控制日志。
防护互联网边界中私网资产的场景,请参见通过防护规则拦截/放行NAT网关边界流量。 批量添加防护策略,请参见导入/导出防护策略。 如果您的业务可能被防护策略误拦截,排查方式请参见配置CFW防护策略后,业务流量异常怎么办?。 父主题: 访问控制
与NAT网关的关系 NAT网关(NAT Gateway)提供公网NAT网关和私网NAT网关。公网NAT网关为VPC内的云主机提供SNAT和DNAT功能,可轻松构建VPC的公网出入口。 云防火墙通过防护NAT网关所在的VPC,实现对NAT网关流量的防护。
开启私网IP流量防护请参见开启NAT网关流量防护。 如何防御网络攻击和病毒文件 CFW提供入侵防御IPS、敏感目录扫描防御、反弹Shell检测防御、病毒防御AV功能防御网络攻击和病毒文件,具体介绍如表1所示。
表1 入门指引 场景 操作指引 购买云防火墙 购买包年/包月云防火墙 购买按需计费云防火墙 使用云防火墙 开启CFW防护 互联网边界流量防护 VPC边界流量防护 NAT网关流量防护 配置访问控制策略(ACL) 访问控制策略概述 互联网边界访问控制策略 VPC边界访问控制策略 NAT
SNAT防护组网图 请求流量和响应流量为同一个路径。 配置建议 建议为NAT网关创建独立VPC不用于云服务器等实例网络配置,避免影响后续的访问控制。
