检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
SNAT或VPC间访问不通:关闭VPC边界防火墙的防护,请参见关闭VPC边界防火墙。 观察业务情况。 如果业务恢复,说明是CFW拦截了业务流量,请参见原因二:防护策略阻断流量和原因三:入侵防御阻断流量排查故障。
与NAT网关的关系 NAT网关(NAT Gateway)提供公网NAT网关和私网NAT网关。公网NAT网关为VPC内的云主机提供SNAT和DNAT功能,可轻松构建VPC的公网出入口。 云防火墙通过防护NAT网关所在的VPC,实现对NAT网关流量的防护。
配置访问控制策略 通过防护规则拦截/放行互联网边界流量 通过防护规则拦截/放行VPC边界流量 通过防护规则拦截/放行NAT网关边界流量 示例一:放行入方向中指定IP的访问流量 示例二:拦截某一地区的访问流量 示例三:放行业务访问某平台的流量 示例四:配置SNAT的防护规则 通过黑白名单拦截
internet:互联网边界流量日志 nat:NAT边界流量日志 vpc:VPC间流量日志 vsys long 防火墙防护方向。 1:南北向 2:东西向 direction string 流量方向。
表4 请求Body参数 参数 是否必选 参数类型 描述 destination 是 CaptureRuleAddressDto object 抓包规则目的地址请求体 duration 是 Integer 抓包时长,以分钟为单位 max_packets 是 Integer 最大抓包数
云防火墙防护 开启互联网边界流量防护 开启VPC边界流量防护 开启NAT网关流量防护
EIP NAT(仅专业版支持防护NAT流量) 添加方式 选择添加方式。 文件上传:单击“添加文件”;仅支持上传“.txt”和“.csv”格式的文件或者文本输入。 文本输入:在“IP地址”中输入IP地址,总文本长度不超过4,000。
约束限制: 不涉及 取值范围: 0:互联网边界规则,源(source)和目的(destination)地址需要为公网IP或域名; 1:VPC间规则,源(source)和目的(destination)地址需要为私有ip; 2:NAT规则,源(source)地址需要为私网IP,目的地址为公网
约束限制: 不涉及 取值范围: 0:互联网边界规则,源(source)和目的(destination)地址需要为公网IP或域名; 1:VPC间规则,源(source)和目的(destination)地址需要为私有ip; 2:NAT规则,源(source)地址需要为私网IP,目的地址为公网
为什么使用NAT64转换的IP地址被阻断了? 系统策略授权企业项目后,为什么部分权限会失效? 配置LTS日志时提示权限不足怎么办? 开启了EIP自动防护但不生效怎么办?
放行云内资源通过NAT网关对指定域名的访问流量请参见通过配置CFW防护规则实现SNAT流量防护。
"ecs:cloudServers:list", "ecs:availabilityZones:list", "smn:topic:list", "nat
fw_instance_id=af050cf8-8ad8-4c12-a027-d7a5784e0f64 { "inspection_vpc_route" : [ { "destination" : "192.168.0.0/20", "desc" : ""
支持的防护对象 防护类型 防护对象 相关文档 互联网边界 弹性公网IP,支持防护绑定了弹性公网IP(EIP)的资源,例如弹性云服务器(ECS)、NAT网关(NAT)、弹性负载均衡(ELB)等。
String 参数解释: 防护资源nat网关名称,专业版防火墙支持NAT规则,此字段表示防护连接的NAT的名称。
约束限制: 不涉及 取值范围: 0:互联网边界规则,源(source)和目的(destination)地址需要为公网IP或域名; 1:VPC间规则,源(source)和目的(destination)地址需要为私有ip; 2:NAT规则,源(source)地址需要为私网IP,目的地址为公网
批量迁移策略 批量迁移安全策略到CFW 与WAF等云服务同时使用 CFW与WAF、DDoS高防、CDN同时使用的配置建议 配置访问控制策略 仅放行互联网对指定端口的访问流量 仅放行云内资源对指定域名的访问流量 通过配置CFW防护规则实现两个VPC间流量防护 通过配置CFW防护规则实现SNAT
防护互联网边界中私网资产的场景,请参见通过防护规则拦截/放行NAT网关边界流量。 批量添加防护策略,请参见导入/导出防护策略。 添加策略之后的后续操作: 策略的命中情况,整体防护概况请参见通过策略助手查看防护信息,详细日志请参见访问控制日志。
默认取值: 不涉及 range 否 Integer 参数解释: 时间范围 约束限制: 不涉及 取值范围: 0为近一时 1近一天 2近七天 默认取值: 不涉及 log_type 是 String 参数解释: 日志类型 约束限制: 不涉及 取值范围: internet为南北向日志、nat
为nat场景日志,vpc为东西向日志,vgw为vgw场景日志 默认取值: 不涉及 type 是 String 参数解释: 日志类型 约束限制: 不涉及 取值范围: attack为攻击日志、acl 访问控制日志,flow 流量日志,url url日志 默认取值: 不涉及 time_zone
