产品功能

总览

实时呈现云上资源（EIP、VPC）的防护状态、安全风险动态，帮助您快速掌握整体防护情况，及时发现攻击事件、异常流量等安全风险，为后续调整防护策略、排查安全问题提供基础依据。更多信息请参见总览。

资产管理

提供对云上资产的安全防护，有效降低安全风险。不同版本可防护资产有所差异，具体如表2所示，防护规格版本差异如表3所示。

• 弹性公网IP管理：支持查看EIP总数、已防护、未防护数量等，展示当前关联的防火墙信息，可对EIP执行开启防护操作，并能查看详细的EIP列表，实现对弹性公网IP防护状态的集中管控与可视化管理。
• VPC边界防火墙管理：支持创建VPC间防火墙，创建后可查看该防火墙的详细信息及对应的防护列表，实现对VPC间网络边界防护的基础配置与状态管理。

如果您的实际业务流量超过已购买的防护带宽流量，可能出现限流、随机丢包、自动Bypass等现象，导致您的部分业务在一定时间内不可用、卡顿、延迟等。

如果出现这种情况，您需要及时根据实际业务情况购买扩展包来提供足够的防护带宽。如果您的业务流量浮动较大，建议参考“总览”页面中的“运营看板”模块，根据“出方向95带宽”或“入方向95带宽”的最大值购买。

购买扩展包请参见变更扩展包。

• 云防火墙支持设置流量超额预警，当业务流量达到已购买带宽规格的一定比例时，将发送告警通知，设置告警通知请参见告警通知。
• 95带宽：系统每个周期统计1个带宽值，将某段时间内的带宽值进行降序排列，去掉带宽数值最高的前5%的值，剩余的最高带宽即为95带宽。

  例如：出方向95带宽为100Mbps，则在某段时间（例如24小时）内，带宽值经过降序排列并去掉最高的5%的值后，剩余的最高带宽为100Mbps。

访问控制

访问控制功能是基于网络边界与业务需求，实现对云上资产访问流量精细化管控的核心模块，通过预设规则允许或阻断特定流量，保障资产仅接受合法访问。更多信息请参见访问控制策略。

• 互联网边界防护规则：支持对云上南北向流量进行精细化访问控制，可以针对公网资产入向流量阻断外部恶意攻击，同时对出向流量严格限制，防止非可信外联。
  • 防护规则：基于IP地址、域名、域名组、地理位置等方式灵活管控访问流量。
  • 黑/白名单：基于五元组精确管控特定流量。
• VPC边界防护规则：支持对云上东西向流量进行精细化访问控制，可配置不同VPC间、VPC与本地数据中心（IDC）间的流量管控规则，阻断内部未授权流量，并按需放行可信流量。
  • 防护规则：基于IP地址、域名、域名组、地理位置等方式灵活管控访问流量。
  • 黑/白名单：基于五元组精确管控特定流量。
• 流量封堵：支持上传需要拦截的IP地址列表，系统即可自动拦截来自这些地址的访问请求，可高效应对恶意IP攻击，提升安全运维效率，实现快速精准封堵。
• 对象组管理：支持自定义IP地址组、域名组和服务组（协议、源端口、目的端口），可将多类对象统一归入对应组，并在访问控制策略（访问规则）中一键引用和自动更新，可以减少重复操作、提升策略调整效率。
• 策略助手：配置防护策略后，可以查看指定时间段内防护策略（防护规则、黑白名单）的统计信息，包括策略看板的命中、放行、阻断总数、策略命中详情等，助力用户及时调整防护策略。

攻击防御

通过入侵防御（IPS）、敏感目录扫描防御、反弹Shell检测防御、病毒防御（AV）功能，以观察、拦截、禁用三种防护动作，防御网络攻击与病毒文件，保障云上业务安全。更多信息请参见攻击防御。

• 入侵防御（IPS）：结合多年攻防积累的经验规则，针对访问流量进行检测与防护，有效保护您的资产。
  • 基础防御：内置的规则库，覆盖常见网络攻击，为您的资产提供基础的防护能力。

    支持检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击，以及检测是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其它可疑行为。

  • 虚拟补丁防御：在网络层级为IPS提供热补丁，实时拦截高危漏洞的远程攻击行为，同时避免修复漏洞时造成业务中断。
  • 自定义IPS特征库：当内置的IPS规则库无法满足需求时，CFW支持自定义IPS特征规则，添加后，CFW将基于签名特征检测数据流量是否存在威胁。

    自定义IPS特征支持添加HTTP、TCP、UDP、POP3、SMTP、FTP的协议类型。

  • 敏感目录扫描防御：专门针对云主机敏感目录的扫描类攻击，精准识别并防御对核心目录的非法探测与攻击。
  • 反弹Shell检测防御：聚焦通过“反弹Shell”技术发起的网络攻击，阻断此类隐蔽性较强的攻击链路。
• 病毒防御（AV）：通过病毒特征检测来识别和处理病毒文件，避免由病毒文件引起的数据破坏、权限更改和系统崩溃等情况发生。

  支持检测HTTP、SMTP、POP3、FTP、IMAP4、SMB的协议类型。

• 安全看板：是攻击防御场景下的可视化管理工具，支持用户快速查看IPS、反弹Shell、敏感目录扫描、病毒防御等攻击防御功能的防护信息，便于及时调整IPS防护策略。

流量分析

展示当前防火墙实例防护的流量数据，包括互联网边界、VPC边界场景的流量看板、可视化统计、资产分析等模块。更多信息请参见流量分析。

• 入云流量：实时监控公网和私网云资产主动外联访问互联网的行为，及时发现异常流量。
• 出云流量：实时检测检云防火墙防护的云资产暴露在公网的IP地址、端口、应用情况，提供可视化分析报表。
• VPC间访问：实时监控互通的VPC之间的流量情况，帮助您实时获取VPC网络流量数据，及时发现和排查异常流量。

日志审计

支持记录攻击事件的详细信息、访问控制策略的命中详情以及经过防火墙的所有流量，便于您进行事件回溯、故障排查等。更多信息请参见日志审计。

• 日志查询：防火墙提供7天的日志记录，助您事件追溯和深入分析。支持审计的日志类型如下：
  • 攻击事件日志：记录用户针对云防火墙的所有配置和操作，例如开启或关闭防火墙、修改入侵防御配置等。
  • 访问控制日志：记录经过云防火墙的流量匹配到访问控制策略的事件情况。支持查看流量的时间、威胁类型、源IP、目的IP、应用类型、严重性等级等信息。
  • 流量日志：记录所有经过云防火墙的流量数据。您可以在威胁事件发生时通过流量日志分析流量和访问源，并查看配置的访问控制策略是否生效。
• 日志管理：将日志转储到华为云的云日志服务（Log Tank Service，简称LTS）中，支持查看1~365天的日志记录。

系统管理

供告警通知、DNS配置、安全报告等功能，帮助您管理和维护云上资产的安全，及时发现异常情况。更多信息请参见系统管理。

• 告警通知：在出现资产出现攻击信息、流量超额预警等事件时，您可以及时通过短信或邮件收到通知。
• 网络抓包：支持通过源/目的IP、端口、协议等多维度精准过滤流量，捕获流量数据包，便于快速获取原始数据包内容、检测攻击并排查安全隐患。
• 多账号管理：提供安全可靠的跨账号数据汇聚和资源访问能力，如果您的账号由组织管理，您可以对组织内任意成员账号的EIP进行统一的资产防护。
• DNS配置：支持为防火墙实例指定DNS服务器地址，可手动添加或自动获取，用于解析防火墙规则中涉及的域名，保障域名类访问控制策略生效。
• 安全报告：支持以日报、周报或自定义周期报告的形式，统计并展示用户已防护资产的安全趋势和关键事件、风险。