更新时间:2026-05-18 GMT+08:00
通过CFW弹性公网IP防护管控云桌面公网访问
操作场景
对云桌面关于公网访问的流量进行四层(IP、端口等)、七层(应用、域名等)访问控制的场景可适用。
图1 场景示意图
操作步骤
- 登录管理控制台。
- 为云桌面开通上网功能,请根据业务需要选择开通方式,详情参见开通大规模增强型(NAT网关+弹性公网IP)。
- 请参见购买云防火墙,购买一个CFW云防火墙实例(不同规格的功能差异,请参见CFW产品功能,本章节案例示例使用规格为:标准版)。
- 在左侧导航栏中,选择“资产管理 > 弹性公网IP管理”,进入“弹性公网IP管理”页面,弹性公网IP(包括IPv4和IPv6)信息将自动更新至列表中。
- 在EIP所在行的“操作”列中,找到2创建的用于云桌面上网的“EIP”,在右侧操作列下单击“开启防护”。
- 单击左侧导航栏中的“访问控制 > 互联网边界防护规则” ,进入互联网边界防护规则页面。
- 在“防护规则”页签下单击“添加”,在弹出的“添加防护规则”中,填写防护信息,根据实际业务部署需要填写防护规则。
如下操作以云桌面默认拒绝访问公网,仅允许访问华为云网站为示例,介绍如何进行规则配置。
- 配置一条拦截所有访问公网流量的规则。 图2 配置规则
表1 规则参数说明 参数
示例
说明
方向
外-内
防护的流量的方向。
源
Any
网络流量的发起方。
目的
Any
网络流量的接收方。
服务
Any
网络流量的协议、源端口、目的端口。
应用
Any
针对应用层协议的防护策略。
动作
阻断
流量经过防火墙时的处理动作。
- 添加第二条规则,允许访问所有华为云网站。 图3 配置规则
表2 规则参数说明 参数
示例
说明
方向
内-外
防护的流量的方向。
源
Any
网络流量的发起方。
目的
在下拉框中选择“应用域名”,填写:*.huaweicloud.com,huaweicloud.com,*.myhuaweicloud.com,*.hc-cdn.com,*.hc-cdn.cn
网络流量的接收方。
注:可通过应用域名组进行集中管理
服务
- 服务/服务组:选择“服务”。
- 协议:选择“TCP”。
- 源端口:1-65535。
- 目的端口:1-65535。
网络流量的协议、源端口、目的端口。
应用
选择“应用”,在下拉框中选择HTTP、HTTPS
针对应用层协议的防护策略。
动作
放行
流量经过防火墙时的处理动作。
- 可通过访问控制日志查看命中详情。在左侧导航栏中,选择“日志审计 > 日志查询”。默认进入“攻击事件日志”页面,选择“访问控制日志”页签。
日志中“目的IP”列是任意huaweicloud.com的域名时,对应的“响应动作”是“放行”,其他流量对应的“响应动作”是“阻断”。
图4 查看日志
父主题: 配合CFW进行网络管控业务实践
