更新时间:2024-09-25 GMT+08:00
批量迁移安全策略到CFW
应用场景
当业务需要从其他云迁移到华为云,或者安全策略需要从其他防火墙更换到云防火墙时,支持通过批量导入功能,快速添加安全策略。
注意事项
批量迁移内到外的阻断规则
- 通过API/策略备份功能从其他防火墙上导出策略配置文件。
例如导出如下规则:
- rule id:123
- src-zone:trust
- dst-zone:untrust
- src-addr:0.0.0.0/0
- dst-addr:xx.xx.xx.9
- service :SSH
- action:deny
- name:example123
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域。
- 在左侧导航栏中,单击左上方的,选择 ,进入云防火墙的总览页面。
- (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择“访问策略管理”页面。 ,进入
- 单击页面右上方“下载中心”,右侧弹出“下载中心”页面。
- 单击“下载模板”,下载导入规则模板到本地。
- 在模板中填写参数,
- 顺序:1
- 规则名称:example123
- 防护规则:EIP防护
- 方向:内到外
- 动作:阻断
- 规则地址类型:IPv4
- 启用状态:禁用
- 描述:一个样例
- 源地址类型:IP地址
- 源IP地址:0.0.0.0/0
- 目的地址类型:IP地址
- 目的IP地址:xx.xx.xx.9
- 服务类型:服务
- 协议/源端口/目的端口:TCP/1-65535/22
- 表格填写完成后,单击“导入规则”,导入防护规则表。
- 开启策略的“启用状态”,建议优先开启不影响主要业务的策略。
- 查看访问控制日志中是否有该策略的命中记录,查看访问控制日志请参见访问控制日志。
批量迁移地址组成员和域名组成员
- 通过API/策略备份功能从其他防火墙上导出策略配置文件。
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域。
- 在左侧导航栏中,单击左上方的,选择 ,进入云防火墙的总览页面。
- (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择“访问策略管理”页面。 ,进入
- 单击页面右上方“下载中心”,右侧弹出“下载中心”页面。
- 单击“下载模板”,下载导入规则模板到本地。
- 在模板中填写参数,
- 地址信息表:
- 地址组名称:地址组1
- 地址组描述:业务A
- 地址组地址类型:IPv4
- 地址组成员
- IP地址:10.1.1.2;描述:ECS1
- IP地址:10.1.1.3;描述:ECS2
- IP地址:10.1.1.4;描述:ECS3
- 域名组信息表:
- 域名组名称:域名组1
- 域名组类型:URL过滤
- 域名组描述:业务A对外访问域名
- 域名组成员
- 域名成员:www.example.test.api;域名描述:api
- 域名成员:www.test.example.com;域名描述:一个域名
- 域名成员:www.example.example.test;域名描述:XX系统
- 防护规则表
- 顺序:1
- 规则名称:业务A外联
- 防护规则:NAT防护
- 方向:内到外
- 动作:放行
- 规则地址类型:IPv4
- 启用状态:禁用
- 源地址类型:IP地址组
- 源地址组名称:地址组1
- 目的地址类型:域名组
- 目的域名组名称:域名组1
- 服务类型:服务
- 协议/源端口/目的端口:TCP/0-65535/8080
- 地址信息表:
- 表格填写完成后,单击“导入规则”,导入防护规则表。
- 开启策略的“启用状态”,建议优先开启不影响主要业务的策略。
- 查看访问控制日志中是否有该策略的命中记录,查看访问控制日志请参见访问控制日志。