检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
开启私网IP流量防护请参见开启NAT网关流量防护。 如何防御网络攻击和病毒文件 CFW提供入侵防御IPS、敏感目录扫描防御、反弹Shell检测防御、病毒防御AV功能防御网络攻击和病毒文件,具体介绍如表1所示。
与NAT网关的关系 NAT网关(NAT Gateway)提供公网NAT网关和私网NAT网关。公网NAT网关为VPC内的云主机提供SNAT和DNAT功能,可轻松构建VPC的公网出入口。 云防火墙通过防护NAT网关所在的VPC,实现对NAT网关流量的防护。
配置访问控制策略 通过防护规则拦截/放行互联网边界流量 通过防护规则拦截/放行VPC边界流量 通过防护规则拦截/放行NAT网关边界流量 示例一:放行入方向中指定IP的访问流量 示例二:拦截某一地区的访问流量 示例三:放行业务访问某平台的流量 示例四:配置SNAT的防护规则 通过黑白名单拦截
internet:互联网边界流量日志 nat:NAT边界流量日志 vpc:VPC间流量日志 vsys long 防火墙防护方向。 1:南北向 2:东西向 direction string 流量方向。
表4 请求Body参数 参数 是否必选 参数类型 描述 destination 是 CaptureRuleAddressDto object 抓包规则目的地址请求体 duration 是 Integer 抓包时长,以分钟为单位 max_packets 是 Integer 最大抓包数
EIP NAT(仅专业版支持防护NAT流量) 添加方式 选择添加方式。 文件上传:单击“添加文件”;仅支持上传“.txt”和“.csv”格式的文件或者文本输入。 文本输入:在“IP地址”中输入IP地址,总文本长度不超过4,000。
云防火墙防护 开启互联网边界流量防护 开启VPC边界流量防护 开启NAT网关流量防护
约束限制: 不涉及 取值范围: 0:互联网边界规则,源(source)和目的(destination)地址需要为公网IP或域名; 1:VPC间规则,源(source)和目的(destination)地址需要为私有ip; 2:NAT规则,源(source)地址需要为私网IP,目的地址为公网
约束限制: 不涉及 取值范围: 0:互联网边界规则,源(source)和目的(destination)地址需要为公网IP或域名; 1:VPC间规则,源(source)和目的(destination)地址需要为私有ip; 2:NAT规则,源(source)地址需要为私网IP,目的地址为公网
为什么使用NAT64转换的IP地址被阻断了? 系统策略授权企业项目后,为什么部分权限会失效? 配置LTS日志时提示权限不足怎么办? 开启了EIP自动防护但不生效怎么办?
"ecs:cloudServers:list", "ecs:availabilityZones:list", "smn:topic:list", "nat
String 防护资源nat网关名称,专业版防火墙支持NAT规则,此字段表示防护连接的NAT的名称。
放行云内资源通过NAT网关对指定域名的访问流量请参见通过配置CFW防护规则实现SNAT流量防护。
effect_scope 否 Array of integers 生效范围,1表示生效范围为eip, 2表示生效范围为nat, [1 2]表示 生效范围为eip和nat 响应参数 状态码:200 表4 响应Body参数 参数 参数类型 描述 - String 请求示例 全量方式导入一个
支持的防护对象 防护类型 防护对象 相关文档 互联网边界 弹性公网IP,支持防护绑定了弹性公网IP(EIP)的资源,例如弹性云服务器(ECS)、NAT网关(NAT)、弹性负载均衡(ELB)等。
约束限制: 不涉及 取值范围: 0:互联网边界规则,源(source)和目的(destination)地址需要为公网IP或域名; 1:VPC间规则,源(source)和目的(destination)地址需要为私有ip; 2:NAT规则,源(source)地址需要为私网IP,目的地址为公网
防护互联网边界中私网资产的场景,请参见通过防护规则拦截/放行NAT网关边界流量。 批量添加防护策略,请参见导入/导出防护策略。 添加策略之后的后续操作: 策略的命中情况,整体防护概况请参见通过策略助手查看防护信息,详细日志请参见访问控制日志。
批量迁移策略 批量迁移安全策略到CFW 与WAF等云服务同时使用 CFW与WAF、DDoS高防、CDN同时使用的配置建议 配置访问控制策略 仅放行互联网对指定端口的访问流量 仅放行云内资源对指定域名的访问流量 通过配置CFW防护规则实现两个VPC间流量防护 通过配置CFW防护规则实现SNAT
查看预定义地址组 云防火墙为您提供预定义地址组,包括NAT64转换地址组和WAF回源IP地址组,两个地址组均建议您配置放行的策略。
防护互联网边界中私网资产的场景,请参见通过防护规则拦截/放行NAT网关边界流量。 注意: 如果IP为Web应用防火墙(WAF)的回源IP,建议配置放行的防护规则或白名单,请谨慎配置阻断的防护规则,否则可能会影响您的业务。 回源IP的相关信息请参见什么是回源IP?。
