检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
为什么访问控制日志页面数据为空? 问题描述 有流量产生但是访问控制日志界面没有数据,日志界面如图1所示。 图1 访问控制日志 问题原因 访问控制日志展示的是ACL防护策略(防护规则或黑/白名单)匹配到的流量,未开启防火墙对云资源的防护或未配置ACL策略都会导致访问控制日志无数据。
参数解释: 防火墙ID,用户创建防火墙实例后产生的唯一ID,配置后可区分不同防火墙,可通过防火墙ID获取方式获取 约束限制: 不涉及 取值范围: 32位UUID 默认取值: 不涉及 range 否 Integer 参数解释: 时间范围 约束限制: 不涉及 取值范围: 0为近一时 1近一天
示例二:拦截某一地区的访问流量 本文提供拦截某一地区的访问流量的配置示例,更多参数配置请参见通过防护规则拦截/放行互联网边界流量。 拦截某一地区的访问流量 假如您需要拦截所有来源“北京”地区的访问流量,可以参照以下参数设置防护规则。 图1 拦截北京地区的访问流量 后续操作 查看防护效果:
身份认证与访问控制 CFW对接了统一身份认证服务(Identity and Access Management,IAM)服务。 IAM权限是作用于云资源的,IAM权限定义了允许和拒绝的访问操作,以此实现云资源权限访问控制。通过IAM,可以将用户加入到一个用户组中,并用策略来控制他们对华为云资源的访问范围。
(可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。 在左侧导航栏中,选择“流量分析 > VPC间访问”,进入“VPC间访问”页面。 查看经过云防火墙的流量统计信息,支持5分钟~7天的数据。 流量看板:VPC间最大流量的相关信息。 图1 VPC间访问流量-流量看板 VPC间访问:VPC间请求流量和响应流量数据。
参数解释: 导出访问控制规则响应DATA 取值范围: 不涉及 表4 RuleAclResponseData 参数 参数类型 描述 id String 参数解释: 防护对象ID,是创建云防火墙后用于区分互联网边界防护和VPC边界防护的标志ID,可通过调用查询防火墙实例接口获得,通过返回值中的data
配置访问控制策略 通过防护规则拦截/放行互联网边界流量 通过防护规则拦截/放行VPC边界流量 通过防护规则拦截/放行NAT网关边界流量 示例一:放行入方向中指定IP的访问流量 示例二:拦截某一地区的访问流量 示例三:放行业务访问某平台的流量 示例四:配置SNAT的防护规则 通过黑白名单拦截/放行流量
示例一:放行入方向中指定IP的访问流量 本文提供放行入方向中指定IP访问流量的配置示例,更多参数配置请参见通过防护规则拦截/放行互联网边界流量。 单独放行入方向中指定IP的访问流量 配置两条防护规则,一条拦截所有流量,如图 拦截所有流量所示,优先级置于最低,一条单独放行指定IP的流量访问,如图 放行
防护规则支持防护以下几种场景: 本文指导如何防护VPC与VPC之间、VPC与线下IDC之间的访问流量。 防护互联网边界中公网资产(EIP)的流量,请参见通过防护规则拦截/放行互联网边界流量。 防护互联网边界中私网资产的场景,请参见通过防护规则拦截/放行NAT网关边界流量。 注意: 如果IP为Web应用防
参数解释: 导入访问控制规DATA 取值范围: 不涉及 表5 RuleAclResponseData 参数 参数类型 描述 id String 参数解释: 防护对象ID,是创建云防火墙后用于区分互联网边界防护和VPC边界防护的标志ID,可通过调用查询防火墙实例接口获得,通过返回值中的data
防护日志 访问控制日志 访问控制日志 访问控制日志 攻击事件日志 配置方式 通过防护规则拦截/放行互联网边界流量 通过黑白名单拦截/放行流量 通过黑白名单拦截/放行流量 通过流量封堵快速拦截恶意流量 注意: “流量过滤”是新上线的功能,如果您当前在控制台无法进入“访问控制 > 流
SNAT场景流量,请参见SNAT流量防护规则。 防护互联网边界中公网资产(EIP)的流量,请参见通过防护规则拦截/放行互联网边界流量。 防护VPC与VPC之间、VPC与线下IDC之间的访问流量,请参见通过防护规则拦截/放行VPC边界流量。 注意: 如果IP为Web应用防火墙(WAF)的回源
本文指导如何防护互联网边界中公网资产(EIP)的流量。 互联网访问云上资产(EIP)的流量防护请参见互联网访问云上资产(入云方向)。 云上资产(EIP)访问互联网的流量防护请参见云上资产访问互联网(出云方向)。 防护互联网边界中私网资产的场景,请参见通过防护规则拦截/放行NAT网关边界流量。 防护
配置防护规则请参见通过防护规则拦截/放行互联网边界流量。 规格限制 云防火墙最多支持配置2000条黑名单和2000条白名单。 当您需要配置的黑名单IP超出限制时,可通过流量封堵功能实现快速拦截,具体操作请参见通过流量封堵快速拦截恶意流量。 当您需要配置的白名单IP超出限制时,可通过添加IP
一条放行EIP对某平台的流量访问,如图 放行IP对某平台的访问流量所示,优先级设置最高。 图1 添加某平台域名组 图2 拦截所有流量 图3 放行EIP对某平台的访问流量 后续操作 查看防护效果: 策略的命中情况,整体防护概况请参见通过策略助手查看防护信息,详细日志请参见访问控制日志。 流量趋
用于标识规则,可通过标签实现对安全策略的分类和搜索。 k=a 相关文档 添加单个防护规则请参见通过防护规则拦截/放行互联网边界流量。 添加黑/白名单请参见通过黑白名单拦截/放行流量。 查看防护效果: 策略的命中情况,整体防护概况请参见通过策略助手查看防护信息,详细日志请参见访问控制日志。
单个防火墙实例支持添加的IP数: 基础版:不支持流量封堵功能 标准版:100,000条 专业版:500,000条 仅“专业版”支持对NAT的流量防护,各版本均支持对EIP的流量防护。 系统影响 将IP地址添加到流量封堵列表后,访问该IP地址的流量以及从该IP地址发起的访问流量都将直接拦截。
自定义规则名称和ID。 规则类型 当前规则的防护类型,支持EIP规则和NAT规则。 方向 防护规则的流量方向。 源 访问流量中的会话发起方。 目的 访问流量中的会话接收方。 服务 协议类型当前支持:TCP、UDP、ICMP、Any。 源端口:当前开放或限制的源端口号。支持单个端口
添加单个黑/白名单实现流量防护请参见通过黑白名单拦截/放行流量,添加单个防护规则实现流量防护: 互联网访问云上资产(EIP)的流量防护请参见互联网访问云上资产(入云方向)。 云上资产(EIP)访问互联网的流量防护请参见云上资产访问互联网(出云方向)。 防护VPC与VPC之间、VPC与线下IDC之间的访问流量,
入方向流量、出方向流量、VPC间流量信息。 “流量分析”页面基于会话统计数据,在会话连接期间,数据不会上报,连接结束后才会上报。 入云流量:入云方向的会话。 出云流量:出云方向的会话。 VPC间访问:VPC间的会话。 父主题: 网络流量
