文档首页> 云防火墙 CFW> 最佳实践> 云防火墙使用最佳实践
更新时间:2024-03-29 GMT+08:00
分享

云防火墙使用最佳实践

选择云防火墙版本

云防火墙提供了“基础版”“标准版”“专业版”供您使用,包括访问控制、入侵防御、流量分析以及日志审计等功能。

详细的功能介绍请参见功能特性

服务版本差异说明请参见服务版本差异

开启弹性公网IP防护

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航树中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的概览页面。
  4. (可选)当前账号下仅存在单个防火墙实例时,自动进入防火墙详情页面,存在多个防火墙实例时,单击防火墙列表“操作”列的“查看”,进入防火墙详情页面。
  5. 在左侧导航栏中,选择“资产管理 > 弹性公网IP管理”,进入“弹性公网IP管理”页面,如图 弹性公网IP管理所示。

    (可选)手动更新列表请单击页面右上角“资产同步”,将您的弹性公网IP信息导入至列表中,刷新弹性公网IP列表。

    图1 弹性公网IP管理

  1. 开启弹性公网IP。

    • 开启单个弹性公网IP。在所在行的操作列中,单击“开启防护”。
    • 开启多个弹性公网IP。勾选需要开启防护的弹性公网IP,单击表格上方的“开启防护”

    一个EIP只能在一个防火墙上开启防护。

  2. 在弹出的界面确认信息无误后,单击“绑定并开启防护”,可查看操作行的“防护状态”列显示“防护中”

    EIP开启防护后,访问控制策略默认动作为“放行”

开启入侵防御拦截模式

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航树中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的概览页面。
  4. 在左侧导航栏中,选择攻击防御 > 入侵防御
  5. 在入侵防御界面,页面上方的“防护模式”中,选择防御模式。

    • 观察模式:仅对攻击事件进行检测并记录到日志中。
    • 拦截模式:在发生明确攻击类型的事件和检测到异常IP访问时,将实施自动拦截操作。
      • 拦截模式-宽松:防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。
      • 拦截模式-中等:防护粒度中等。满足大多数场景下的防护需求。
      • 拦截模式-严格:防护粒度精细,全量拦截攻击请求。建议您等待业务运行一段时间后,根据防护效果配置误报屏蔽规则,再开启“严格”模式。

配置外到内的访问策略

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航树中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的概览页面。
  4. 在左侧导航栏中,选择访问控制 > 访问策略管理,进入“访问策略管理”页面。
  5. 单击“添加”,在弹出“添加防护规则”对话框,配置防护规则。

    • 添加放行的防护规则。在“添加防护规则”对话框,配置源IP地址,“目的”“服务”选为“Any”“动作”选择“放行”
      图2 放行指定IP
    • 添加全局阻断。在“添加防护规则”对话框,配置为“Any”,动作选择阻断,始终保持该条规则优先级最低。
      图3 拦截所有流量

配置内到外的访问策略

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航树中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的概览页面。
  4. 在左侧导航栏中,选择访问控制 > 访问策略管理,进入“访问策略管理”页面。
  5. 单击“添加”,在弹出“添加防护规则”对话框,配置防护规则。

    • 添加放行的防护规则。在“添加防护规则”对话框,配置源IP地址,“目的”“服务”“Any”“动作”选择“放行”
      图4 放行指定IP(内到外)
    • “添加防护规则”对话框,配置“源”“Any”“目的”选择“域名”“服务”“Any”“动作”选择“放行”
      图5 内到外流量放行策略(域名)
    • 添加全局阻断。在“添加防护规则”对话框,“源”“目的”“服务”配置为“Any”“动作”选择“阻断”,始终保持该条规则优先级最低。
      图6 拦截所有流量(内到外)

查看防护效果

查看防护详情请参见查看防护详情

分享:

    相关文档

    相关产品