批量迁移安全策略到CFW
应用场景
当业务需要从其他云迁移到华为云,或者安全策略需要从其他防火墙更换到云防火墙时,支持通过批量导入功能,快速添加安全策略。
注意事项
批量迁移内到外的阻断规则
- 通过API/策略备份功能从其他防火墙上导出策略配置文件。
例如,导出如下规则:
表1 导出规则 参数名称
参数值
rule id
123
src-zone
trust
dst-zone
untrust
src-addr
0.0.0.0/0
dst-addr
xx.xx.xx.9
service
SSH
action
deny
name
example123
- 登录CFW控制台。
- 单击管理控制台左上角的
,选择区域。 - (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择,进入互联网边界防护规则页面。
- 单击页面右上方“策略导入导出”,右侧弹出策略导入导出页面。
- 单击“下载模板”,下载导入规则模板到本地。
- 在模板中的“互联网边界防护规则表”子表中,填写参数信息。
表2 填写规则模板 参数名称
示例
参数说明
顺序
1
定义规则序号。
规则名称
example123
自定义规则名称。
防护规则
EIP防护
选择安全策略的防护类型。- EIP防护:防护EIP的流量,仅支持配置公网IP。
- NAT防护:防护NAT的流量,可以配置私网IP。
方向
内到外
选择防护方向:
- 外-内:外网访问内部服务器。
- 内-外:客户服务器访问外网。
动作
阻断
设置防火墙对通过流量的处理动作,选择“放行”或者“阻断”。
规则地址类型
IPv4
设置防护的IP类型,选择“IPv4”或者“IPv6”。
启用状态
禁用
选择该策略是否立即启用。
- 启用:表示立即开启,规则生效;
- 禁用:表示关闭,规则不生效。
描述
一个样例
自定义规则描述。
源地址类型
IP地址
选择会话发起方的类型。
- IP地址:支持设置单个IP地址、连续多个IP地址、地址段。
- IP地址组:支持多个IP地址的集合。
- 地域:支持按照地域防护。
源IP地址
0.0.0.0/0
“源地址类型”选择“IP地址”时,需填写“源IP地址”。
支持以下输入格式:
- 单个IP地址,如:192.168.10.5
- 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
- 地址段,使用“/”隔开掩码,如:192.168.2.0/24
如果您希望输入多个单IP地址或多个IP地址段,需要配置多条规则。这些规则的IP地址(段)不同,其他参数相同。
源地址组名称
--
“源地址类型”选择“IP地址组”时,需填写“源地址组名称”。
支持以下输入格式:- 可输入中文、字母、数字、下划线、连接符或空格。
- 名称长度不能超过255个字符。
源大洲地域
--
“源地址类型”选择“地域”时,需填写“源大洲地域”。
您可以切换模板表格至“大洲信息表”页签,查看大洲信息。
源国家地域
--
“源地址类型”选择“地域”时,需填写“源国家地域”。
您可以切换模板表格至“国家信息表”页签,查看国家信息。
源中国省地域
--
“源地址类型”选择“地域”时,需填写“源中国省地域”。
您可以切换模板表格至“中国省份信息表”页签,查看省份信息。
目的地址类型
IP地址
选择会话接收方的类型。- IP地址:支持设置单个IP地址、连续多个IP地址、地址段。
- IP地址组:支持多个IP地址的集合。
- 域名:由一串用点分隔的英文字母组成(以字符串的形式来表示服务器IP),用户通过域名来访问网站。
- 域名组:支持多个域名的集合。
- 地域:支持地域防护。
目的IP地址
xx.xx.xx.9
“目的地址类型”选择“IP地址”时,需填写“目的IP地址”。
目的IP地址支持以下输入格式:
- 单个IP地址,如:192.168.10.5
- 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
- 地址段,使用“/”隔开掩码,如:192.168.2.0/24
如果您希望输入多个单IP地址或多个IP地址段,需要配置多条规则。这些规则的IP地址(段)不同,其他参数相同。
目的地址组名称
--
“目的地址类型”选择“IP地址组”时,需填写“目的地址组名称”。
支持以下输入格式:- 可输入中文、字母、数字、下划线、连接符或空格。
- 名称长度不能超过255个字符。
目的大洲地域
--
“目的地址类型”选择“地域”时,需填写“目的大洲地域”。
您可以切换模板表格至“大洲信息表”页签,查看大洲信息。
目的国家地域
--
“目的地址类型”选择“地域”时,需填写“目的国家地域”。
您可以切换模板表格至“国家信息表”页签,查看国家信息。
目的中国省地域
--
“目的地址类型”选择“地域”时,需填写“目的中国省地域”。
您可以切换模板表格至“中国省份信息表”页签,查看省份信息。
域名
--
“目的地址类型”选择“域名”时,需填写“域名”。
由一串用点分隔的英文字母组成(以字符串的形式来表示服务器IP),用户通过域名来访问网站。
目的域名组名称
--
“目的地址类型”选择“域名组”时,需填写“目的域名组名称”。
输入域名组名称。
服务类型
服务
选择服务或服务组。
- 服务:支持设置单个服务。
- 服务组:支持多个服务的集合。
协议/源端口/目的端口
TCP/1-65535/22
设置需要限制的类型。
- 协议类型当前支持:TCP、UDP、ICMP、Any。
- 设置需要开放或限制的源端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443
- 设置需要开放或限制的目的端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443
服务组名称
--
自定义服务组名称。
只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成,且名称长度不能超过255个字符。
分组标签
--
用于标识规则,可通过标签实现对安全策略的分类和搜索。
- 表格填写完成后,单击“导入规则”,导入防护规则表。
- 开启策略的“启用状态”,建议优先开启不影响主要业务的策略。
- 查看访问控制日志中是否有该策略的命中记录,查看访问控制日志请参见访问控制日志。
批量迁移地址组成员和域名组成员
- 通过API/策略备份功能从其他防火墙上导出策略配置文件。
- 登录CFW控制台。
- 单击管理控制台左上角的,选择区域。
- (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择,进入互联网边界防护规则页面。
- 单击页面右上方“策略导入导出”,右侧弹出策略导入导出页面。
- 单击“下载模板”,下载导入规则模板到本地。
- 在模板中填写参数。
- 地址信息表:
表3 地址信息表 参数名称
示例
参数说明
地址组名称
地址组1
需要添加的IP地址组名称。
地址组描述
--
标识该IP组的使用场景和用途,以便后续运维时快速区分不同的IP组。
地址组地址类型
IPv4
选择地址组类型,支持“IPv4”和“IPv6”。
地址组成员
IP地址:10.1.1.2;描述:ECS1
添加需要管理的IP地址。
IP地址:10.1.1.3;描述:ECS2
IP地址:10.1.1.4;描述:ECS3
- 域名组信息表:
表4 域名组信息表 参数名称
示例
参数说明
域名组名称
域名组1
自定义域名组名称。
域名组类型
应用型域名组
选择的域名组类型:应用型/网络型。
域名组描述
业务A对外访问域名
设置该域名组的备注信息。
域名组成员
域名成员:www.example.test.api;域名描述:api
输入域名域名组成员信息并自定义描述信息。
域名成员:www.test.example.com;域名描述:一个域名
域名成员:www.example.example.test;域名描述:XX系统
- 防护规则表:
表5 互联网边界防护规则表 参数名称
示例
参数说明
顺序
1
定义规则序号。
规则名称
业务A外联
自定义规则名称。
防护规则
NAT防护
选择安全策略的防护类型。- EIP防护:防护EIP的流量,仅支持配置公网IP。
- NAT防护:防护NAT的流量,可以配置私网IP。
方向
内到外
选择防护方向:
- 外-内:外网访问内部服务器。
- 内-外:客户服务器访问外网。
动作
放行
设置防火墙对通过流量的处理动作,选择“放行”或者“阻断”。
规则地址类型
IPv4
设置防护的IP类型,选择“IPv4”或者“IPv6”。
启用状态
禁用
选择该策略是否立即启用。
- 启用:表示立即开启,规则生效;
- 禁用:表示关闭,规则不生效。
描述
--
自定义规则描述。
源地址类型
IP地址组
选择会话发起方的类型。
- IP地址:支持设置单个IP地址、连续多个IP地址、地址段。
- IP地址组:支持多个IP地址的集合。
- 地域:支持按照地域防护。
源IP地址
--
“源地址类型”选择“IP地址”时,需填写“源IP地址”。
支持以下输入格式:
- 单个IP地址,如:192.168.10.5
- 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
- 地址段,使用“/”隔开掩码,如:192.168.2.0/24
如果您希望输入多个单IP地址或多个IP地址段,需要配置多条规则。这些规则的IP地址(段)不同,其他参数相同。
源地址组名称
地址组1
“源地址类型”选择“IP地址组”时,需填写“源地址组名称”。
支持以下输入格式:- 可输入中文、字母、数字、下划线、连接符或空格。
- 名称长度不能超过255个字符。
源大洲地域
--
“源地址类型”选择“地域”时,需填写“源大洲地域”。
您可以切换模板表格至“大洲信息表”页签,查看大洲信息。
源国家地域
--
“源地址类型”选择“地域”时,需填写“源国家地域”。
您可以切换模板表格至“国家信息表”页签,查看国家信息。
源中国省地域
--
“源地址类型”选择“地域”时,需填写“源中国省地域”。
您可以切换模板表格至“中国省份信息表”页签,查看省份信息。
目的地址类型
域名组
选择会话接收方的类型。- IP地址:支持设置单个IP地址、连续多个IP地址、地址段。
- IP地址组:支持多个IP地址的集合。
- 域名:由一串用点分隔的英文字母组成(以字符串的形式来表示服务器IP),用户通过域名来访问网站。
- 域名组:支持多个域名的集合。
- 地域:支持地域防护。
目的IP地址
--
“目的地址类型”选择“IP地址”时,需填写“目的IP地址”。
目的IP地址支持以下输入格式:
- 单个IP地址,如:192.168.10.5
- 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
- 地址段,使用“/”隔开掩码,如:192.168.2.0/24
如果您希望输入多个单IP地址或多个IP地址段,需要配置多条规则。这些规则的IP地址(段)不同,其他参数相同。
目的地址组名称
--
“目的地址类型”选择“IP地址组”时,需填写“目的地址组名称”。
支持以下输入格式:- 可输入中文、字母、数字、下划线、连接符或空格。
- 名称长度不能超过255个字符。
目的大洲地域
--
“目的地址类型”选择“地域”时,需填写“目的大洲地域”。
您可以切换模板表格至“大洲信息表”页签,查看大洲信息。
目的国家地域
--
“目的地址类型”选择“地域”时,需填写“目的国家地域”。
您可以切换模板表格至“国家信息表”页签,查看国家信息。
目的中国省地域
--
“目的地址类型”选择“地域”时,需填写“目的中国省地域”。
您可以切换模板表格至“中国省份信息表”页签,查看省份信息。
域名
--
“目的地址类型”选择“域名”时,需填写“域名”。
由一串用点分隔的英文字母组成(以字符串的形式来表示服务器IP),用户通过域名来访问网站。
目的域名组名称
域名组1
“目的地址类型”选择“域名组”时,需填写“目的域名组名称”。
输入域名组名称。
服务类型
服务
选择服务或服务组。
- 服务:支持设置单个服务。
- 服务组:支持多个服务的集合。
协议/源端口/目的端口
TCP/0-65535/8080
设置需要限制的类型。
- 协议类型当前支持:TCP、UDP、ICMP、Any。
- 设置需要开放或限制的源端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443
- 设置需要开放或限制的目的端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443
服务组名称
--
自定义服务组名称。
只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成,且名称长度不能超过255个字符。
分组标签
--
用于标识规则,可通过标签实现对安全策略的分类和搜索。
- 地址信息表:
- 表格填写完成后,单击“导入规则”,导入防护规则表。
- 开启策略的“启用状态”,建议优先开启不影响主要业务的策略。
- 查看访问控制日志中是否有该策略的命中记录,查看访问控制日志请参见访问控制日志。
