文档首页/ 云防火墙 CFW/ 最佳实践/ 批量迁移安全策略到CFW
更新时间:2024-09-23 GMT+08:00
查看PDF
分享

批量迁移安全策略到CFW

应用场景

当业务需要从其他云迁移到华为云,或者安全策略需要从其他防火墙更换到云防火墙时,支持通过批量导入功能,快速添加安全策略。

注意事项

  • 如果业务迁移时组网发生改变,则需要重新改写原有策略中的网络信息(如IP地址)。
  • 为减小迁移对业务的影响,建议将所有规则的“启用状态”先设置为“禁用”(尤其是阻断类策略),待导入表格并检查策略配置正确后,再启用策略。
  • 导入后的策略优先级低于已创建的策略。

    云防火墙与网络ACL、安全组等防护检测服务的策略都设置为放行时,才能正常放行指定流量。

  • 导入并引用对象组(如IP地址组)时,需要在对应的信息表(如地址信息表)中填写组的信息,再在防护策略表中引用。

批量迁移内到外的阻断规则

  1. 通过API/策略备份功能从其他防火墙上导出策略配置文件。

    例如导出如下规则:
    • rule id:123
    • src-zone:trust
    • dst-zone:untrust
    • src-addr:0.0.0.0/0
    • dst-addr:xx.xx.xx.9
    • service :SSH
    • action:deny
    • name:example123

  2. 登录管理控制台
  3. 单击管理控制台左上角的,选择区域。
  4. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  5. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  6. 在左侧导航栏中,选择访问控制 > 访问策略管理,进入“访问策略管理”页面。
  7. 单击页面右上方“下载中心”,右侧弹出“下载中心”页面。
  8. 单击“下载模板”,下载导入规则模板到本地。
  9. 在模板中填写参数,

    • 顺序:1
    • 规则名称:example123
    • 防护规则:EIP防护
    • 方向:内到外
    • 动作:阻断
    • 规则地址类型:IPv4
    • 启用状态:禁用
    • 描述:一个样例
    • 源地址类型:IP地址
    • 源IP地址:0.0.0.0/0
    • 目的地址类型:IP地址
    • 目的IP地址:xx.xx.xx.9
    • 服务类型:服务
    • 协议/源端口/目的端口:TCP/1-65535/22

  10. 表格填写完成后,单击“导入规则”,导入防护规则表。
  11. 开启策略的“启用状态”,建议优先开启不影响主要业务的策略。
  12. 查看访问控制日志中是否有该策略的命中记录,查看访问控制日志请参见访问控制日志

    • 如果有命中记录,则表明策略已经生效。
    • 如果没有命中记录,可按以下步骤排查:
      1. 策略对应的资源需在防火墙中开启防护,EIP资源请参见开启EIP防护,VPC资源请参见添加防护VPC
      2. 查看策略优先级,是否有更高优先级的策略被命中,设置优先级请参见设置优先级
      3. “访问策略管理”页面查看是否有下发失败的报错。

批量迁移地址组成员和域名组成员

  1. 通过API/策略备份功能从其他防火墙上导出策略配置文件。
  2. 登录管理控制台
  3. 单击管理控制台左上角的,选择区域。
  4. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  5. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  6. 在左侧导航栏中,选择访问控制 > 访问策略管理,进入“访问策略管理”页面。
  7. 单击页面右上方“下载中心”,右侧弹出“下载中心”页面。
  8. 单击“下载模板”,下载导入规则模板到本地。
  9. 在模板中填写参数,

    • 地址信息表:
      • 地址组名称:地址组1
      • 地址组描述:业务A
      • 地址组地址类型:IPv4
      • 地址组成员
        • IP地址:10.1.1.2;描述:ECS1
        • IP地址:10.1.1.3;描述:ECS2
        • IP地址:10.1.1.4;描述:ECS3
    • 域名组信息表:
      • 域名组名称:域名组1
      • 域名组类型:URL过滤
      • 域名组描述:业务A对外访问域名
      • 域名组成员
        • 域名成员:www.example.test.api;域名描述:api
        • 域名成员:www.test.example.com;域名描述:一个域名
        • 域名成员:www.example.example.test;域名描述:XX系统
    • 防护规则表
      • 顺序:1
      • 规则名称:业务A外联
      • 防护规则:NAT防护
      • 方向:内到外
      • 动作:放行
      • 规则地址类型:IPv4
      • 启用状态:禁用
      • 源地址类型:IP地址组
      • 源地址组名称:地址组1
      • 目的地址类型:域名组
      • 目的域名组名称:域名组1
      • 服务类型:服务
      • 协议/源端口/目的端口:TCP/0-65535/8080

  10. 表格填写完成后,单击“导入规则”,导入防护规则表。
  11. 开启策略的“启用状态”,建议优先开启不影响主要业务的策略。
  12. 查看访问控制日志中是否有该策略的命中记录,查看访问控制日志请参见访问控制日志

    • 如果有命中记录,则表明策略已经生效。
    • 如果没有命中记录,可按以下步骤排查:
      1. 策略对应的资源需在防火墙中开启防护,EIP资源请参见开启EIP防护,VPC资源请参见添加防护VPC
      2. 查看策略优先级,是否有更高优先级的策略被命中,设置优先级请参见设置优先级
      3. “访问策略管理”页面查看是否有下发失败的报错。

相关文档

  • 导入安全策略参数说明请参见导入规则模板参数
  • 查看策略助手或定制安全报告定期查看策略的命中情况。

    策略助手和安全报告中会展示策略被命中的趋势以及各类TOP N统计,便于您及时排查异常策略,助力您做好策略运营。