检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
CFW可对全流量进行精细化管控,包括互联网边界防护、跨VPC的流量,防止外部入侵、内部渗透攻击和从内到外的非法访问;同时,带宽/EIP/安全策略等关键性能规格可无限扩展(根据客户需求灵活调整底层虚拟机的资源和数量,按需设置CPU和内存等资源规格),集群部署高可靠,满足大规模流量的安全防护。
DNS服务器,或自定义指定DNS服务器地址。设置完成后,域名防护策略将根据您配置的DNS服务器进行IP解析并下发。 此外,当您的账号存在多个防火墙时,DNS解析操作仅应用于当前操作的防火墙。 本章节介绍如何更换默认DNS服务器或自定义DNS服务器。 约束条件 最多支持自定义2个DNS服务器。
添加指定DNS服务器 功能介绍 添加指定DNS服务器 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/dns/server/{server_ip}/status 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String
Integer 参数解释: 域名服务器是否应用 取值范围: 0:否 1:是 is_customized Integer 参数解释: 域名服务器是否是用户自定义的dns服务器 取值范围: 0:否 1:是 server_ip String 参数解释: DNS服务器IP 取值范围: 不涉及
更新项目id为2349ba469daf4b7daf268bb0261d18b0的dns解析器的设置,服务器ip为8.8.8.8,默认服务器,更新为使用,服务器ip为192.168.0.2,非默认服务器,更新为非使用 https://{Endpoint}/v1/2349ba469daf4b7
云防火墙支持线下服务器吗? 不支持,云防火墙支持云上region级服务。 父主题: 产品咨询
系统策略授权企业项目后,为什么部分权限会失效? CFW部分功能依赖于弹性云服务器(Elastic Cloud Server, ECS)、虚拟私有云(Virtual Private Cloud, VPC)等云服务,因这些云服务中部分功能不支持企业项目,将“CFW FullAccess”
云防火墙和安全组、网络ACL的访问控制有什么区别? 云防火墙、安全组、网络ACL都可以实现通过IP地址/IP地址组设置访问控制策略,为您的互联网边界和VPC边界、弹性云服务器、子网提供防护。 云防火墙和安全组、网络ACL的主要区别如表1所示。 表1 云防火墙和安全组、网络ACL访问控制的主要区别 类别 云防火墙
访问控制。 Any:任意源地址。 互联网边界: 外-内(入向策略):IP地址、IP地址组、地域、ANY 内-外(出向策略):IP地址、IP地址组、ANY NAT网关: 外-内(入向策略):IP地址、IP地址组、地域、ANY 内-外(出向策略):IP地址、IP地址组、ANY VPC边界规则:IP地址、IP地址组、ANY
配置NAT网关 前提条件 已购买NAT网关:如果该网关对应的VPC未关联云资源(如云服务器),则可用于后续配置。 未购买NAT网关:需购买NAT网关,请参见购买公网NAT网关。关于NAT网关的收费,请参见计费说明。 VPC-NAT关联NAT网关后,在默认路由表中默认添加一条路由(目的地址:0
防火墙后业务是否正常,逐步增加规则,并及时验证功能,一旦发现有问题,需及时关闭防护,避免现网业务受损。 对于SNAT EIP,外到内无法主动访问,内到外的访问控制规则使用的是互联网边界防护的能力,建议不在“弹性公网IP管理”页面中对SNAT所绑定的EIP开启防护,避免规则和日志混乱。
流量分析 查看入云流量 查看出云流量 查看VPC间访问流量
目的端口。 防护流量 入云流量:从互联网流入云防火墙方向的流量,例如,从公网下载资源到云内服务器。 出云流量:从云防火墙流出到互联网方向的流量,例如,云内服务器对外提供服务,外部用户下载云内的资源。 防护带宽:所有经过云防火墙防护的业务带宽。 互联网边界防护带宽:所有经过云防火墙
P对外发起访问的场景。 当弹性云服务器(ECS)发起外网访问时,流量经过企业路由器(ER)转发到防火墙,防火墙根据配置的SNAT防护规则筛选流量(阻断\放行),将安全的流量放行至ER,转发到NAT网关,通过SNAT规则转发到互联网。 DNAT防护提供外网访问内部资源场景的细粒度访
xx.xx.94的阻断日志,发现一条规则名为“阻断违规外联”的阻断规则,阻断了该IP访问外网的流量。 图3 筛选访问控制日志 在访问控制策略列表中搜索“源:xx.xx.xx.94,动作:阻断,方向:内-外,启用状态:启用”,发现有3条包含该IP且在生效中的策略。 其中包含了“阻断违规
哥城二、拉美-圣保罗一、拉美-圣地亚哥、中东-利雅得 开启NAT网关流量防护 访问控制策略 配置合适的访问控制策略能有效地帮助您对内部服务器与外网之间的流量进行精细化管控,防止内部威胁扩散,增加安全战略纵深。 支持区域:华北-北京四、华北-乌兰察布一、华东-上海一、华东-青岛、华
基于解析到的IP地址过滤。 在后台获取DNS服务器解析出的IP地址(每15s获取一次),当会话的四元组与网络型域名相关规则匹配、且本次访问解析到的地址在此前保存的结果中(已从DNS服务器解析中获取到IP地址),则命中对应的防护规则。 配置建议 映射地址量大或映射结果变化快的域名建议优先使用应用
"er:instances:get", "ecs:cloudServers:list", "ecs:availabilityZones:list", "smn:topic:list"
DC之间。 与NAT网关的关系 NAT网关(NAT Gateway)提供公网NAT网关和私网NAT网关。公网NAT网关为VPC内的云主机提供SNAT和DNAT功能,可轻松构建VPC的公网出入口。 云防火墙通过防护NAT网关所在的VPC,实现对NAT网关流量的防护。 与企业路由器的关系
防护EIP的流量,仅支持配置公网IP。 NAT防护: 防护NAT的流量,可以配置私网IP。 EIP防护 方向 选择防护方向: 外-内:外网访问内部服务器。 内-外:客户服务器访问外网。 内到外 动作 选择“放行”或者“阻断”。设置防火墙对通过流量的处理动作。 放行 规则地址类型 选择“IPv4”。设置防护的IP类型。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
