更新时间:2024-05-22 GMT+08:00
迁移安全策略
云防火墙支持批量导入防护策略,帮助您更快速的迁移安全策略。
应用场景
当您需要从其他云迁移到华为云或者从其他防火墙更换安全策略到云防火墙时,支持通过批量导入功能,快速添加安全策略。
操作步骤
- 通过API/策略备份功能从其他防火墙上导出策略配置文件。
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域。 - 在左侧导航树中,单击左上方的
,选择,进入云防火墙的概览页面。 - (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择,进入“访问策略管理”页面。
- 单击页面右上方“下载中心”,右侧弹出“下载中心”页面。
- 单击“下载模板”,下载导入规则模板到本地。
- 填写参数,参数说明请参见导入规则模板参数。
- 内到外的阻断示例请参见导入参数示例——内到外的阻断规则。
- 地址组和域名组的防护示例请参见导入参数示例——地址组成员对域名组成员的访问。
- 如果业务迁移时组网发生改变,则需要重新改写原有策略中的网络信息(如IP地址)。
- 为减小迁移对业务的影响,建议将所有规则的“启用状态”先设置为“禁用”(尤其是阻断类策略),待导入表格并检查策略配置正确后,再启用策略。
- 导入后的策略优先级低于已创建的策略。
- 云防火墙与网络ACL、安全组等防护检测服务的策略都设置为放行时,才能正常放行指定流量。
- 导入并引用对象组(如IP地址组)时,需要在对应的信息表(如地址信息表)中填写组的信息,再在防护策略表中引用。
- 表格填写完成后,单击“导入规则”,导入防护规则表。
- 开启策略的“启用状态”,建议优先开启不影响主要业务的策略。
- 查看访问控制日志中是否有该策略的命中记录,查看访问控制日志请参见访问控制日志。
- 如果有命中记录,则表明策略已经生效。
- 如果没有命中记录,可按以下步骤排查:
- 策略对应的资源需在防火墙中开启防护,EIP资源请参见查看弹性公网IP信息,VPC资源请参见添加防护VPC。
- 查看策略优先级,是否有更高优先级的策略被命中,设置优先级请参见设置优先级。
- 在“访问策略管理”页面查看是否有下发失败的报错。
- (可选)通过查看策略助手或定制安全报告定期查看策略的命中情况。
策略助手和安全报告中会展示策略被命中的趋势以及各类TOP N统计,便于您及时排查异常策略,助力您做好策略运营。
导入参数示例——内到外的阻断规则
原规则
- rule id:123
- src-zone:trust
- dst-zone:untrust
- src-addr:0.0.0.0/0
- dst-addr:xx.xx.xx.9
- service :SSH
- action:deny
- name:example123
转换后填写规则
- 顺序:1
- 规则名称:example123
- 防护规则:EIP防护
- 方向:内到外
- 动作:阻断
- 规则地址类型:IPv4
- 启用状态:禁用
- 描述:一个样例
- 源地址类型:IP地址
- 源IP地址:0.0.0.0/0
- 目的地址类型:IP地址
- 目的IP地址:xx.xx.xx.9
- 服务类型:服务
- 协议/源端口/目的端口:TCP/1-65535/22
导入参数示例——地址组成员对域名组成员的访问
地址信息表:
- 地址组名称:地址组1
- 地址组描述:业务A
- 地址组地址类型:IPv4
- 地址组成员
- IP地址:10.1.1.2;描述:ECS1
- IP地址:10.1.1.3;描述:ECS2
- IP地址:10.1.1.4;描述:ECS3
域名组信息表:
- 域名组名称:域名组1
- 域名组类型:URL过滤
- 域名组描述:业务A对外访问域名
- 域名组成员
- 域名成员:www.example.test.api;域名描述:api
- 域名成员:www.test.example.com;域名描述:一个域名
- 域名成员:www.example.example.test;域名描述:XX系统
防护规则表
- 顺序:1
- 规则名称:业务A外联
- 防护规则:NAT规则
- 方向:内到外
- 动作:放行
- 规则地址类型:IPv4
- 启用状态:禁用
- 源地址类型:IP地址组
- 源地址组名称:地址组1
- 目的地址类型:域名组
- 目的域名组名称:域名组1
- 服务类型:服务
- 协议/源端口/目的端口:TCP/0-65535/8080
