更新时间:2024-05-31 GMT+08:00
配置入方向和出方向的访问策略
开启弹性公网IP防护
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域。
- 在左侧导航树中,单击左上方的,选择 ,进入云防火墙的概览页面。
- (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择“弹性公网IP管理”页面。 ,进入
- 开启弹性公网IP。
- 开启单个弹性公网IP。在所在行的 列中,单击“开启防护”。
- 开启多个弹性公网IP。勾选需要开启防护的弹性公网IP,单击表格上方的“开启防护”。
- 一个EIP只能在一个防火墙上开启防护。
- 仅支持当前账号所属企业项目下的弹性公网IP。
- 在弹出的界面确认信息无误后,单击“绑定并开启防护”,可查看操作行的“防护状态”列显示“防护中”。
EIP开启防护后,访问控制策略默认动作为“放行”。
开启入侵防御拦截模式
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域。
- 在左侧导航树中,单击左上方的,选择 ,进入云防火墙的概览页面。
- 在左侧导航栏中,选择 。
- 在入侵防御界面,页面上方的“防护模式”中,选择防御模式。
- 观察模式:仅对攻击事件进行检测并记录到日志中。
- 拦截模式:在发生明确攻击类型的事件和检测到异常IP访问时,将实施自动拦截操作。
- 拦截模式-宽松:防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。
- 拦截模式-中等:防护粒度中等。满足大多数场景下的防护需求。
- 拦截模式-严格:防护粒度精细,全量拦截攻击请求。建议您等待业务运行一段时间后,根据防护效果配置误报屏蔽规则,再开启“严格”模式。
配置外到内的访问策略
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域。
- 在左侧导航树中,单击左上方的,选择 ,进入云防火墙的概览页面。
- 在左侧导航栏中,选择“访问策略管理”页面。 ,进入
- 单击“添加”,在弹出“添加防护规则”对话框,配置防护规则。
- 添加放行的防护规则。在“添加防护规则”对话框,配置源IP地址,“目的”和“服务”选为“Any”,“动作”选择“放行”。
图1 放行指定IP
- 添加全局阻断。在“添加防护规则”对话框,配置为“Any”,动作选择阻断,始终保持该条规则优先级最低。
图2 拦截所有流量
- 添加放行的防护规则。在“添加防护规则”对话框,配置源IP地址,“目的”和“服务”选为“Any”,“动作”选择“放行”。
配置内到外的访问策略
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域。
- 在左侧导航树中,单击左上方的,选择 ,进入云防火墙的概览页面。
- 在左侧导航栏中,选择“访问策略管理”页面。 ,进入
- 单击“添加”,在弹出“添加防护规则”对话框,配置防护规则。
- 添加放行的防护规则。在“添加防护规则”对话框,配置源IP地址,“目的”和“服务”为“Any”,“动作”选择“放行”。
图3 放行指定IP(内到外)
- 在“添加防护规则”对话框,配置“源”为“Any”,“目的”选择“域名”,“服务”为“Any”,“动作”选择“放行”。
图4 内到外流量放行策略(域名)
- 添加全局阻断。在“添加防护规则”对话框,“源”、“目的”和“服务”配置为“Any”,“动作”选择“阻断”,始终保持该条规则优先级最低。
图5 拦截所有流量(内到外)
- 添加放行的防护规则。在“添加防护规则”对话框,配置源IP地址,“目的”和“服务”为“Any”,“动作”选择“放行”。
查看防护效果
查看防护详情请参见查看防护详情。