开启互联网边界流量防护

什么是互联网边界流量

互联网边界流量是云资产与互联网之间的通信流量（即南北向流量），分为入云流量（互联网访问云资产）和出云流量（云资产主动访问互联网）。

图1 互联网边界流量防护

约束条件

• 弹性公网IP防护目前不支持IPv6防护。
• 一个EIP只能在一个防火墙上开启防护。

对业务的影响

• 开启或关闭EIP防护前，如果不存在阻断所有流量的防护规则或黑名单，则不会造成业务中断，保证流量平滑切换。
• 开启EIP防护前，如果有阻断所有流量的防护规则或黑名单，则会在开启时对该EIP生效，可能导致业务中断；建议开启防护前排查是否存在长连接且不支持会话重建的业务。
  • 编辑防护规则请参见管理防护规则。
  • 编辑黑名单请参见管理黑白名单。

开启互联网边界流量防护

1. 登录管理控制台。
2. 在左侧导航栏中，单击左上方的，选择“安全 > 云防火墙 CFW”，进入云防火墙的总览页面。
3. （可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
4. 在左侧导航栏中，选择“资产管理 > 弹性公网IP管理”，进入“弹性公网IP管理”页面，弹性公网IP信息将自动更新至列表中。

5. 开启弹性公网IP。

   弹性公网IP防护目前不支持IPv6防护；一个EIP只能在一个防火墙上开启防护。

   • 开启单个弹性公网IP：在所在行的“操作”列中，单击“开启防护”。
   • 开启多个弹性公网IP：勾选需要开启防护的弹性公网IP，单击列表上方的“开启防护”。

6. 在弹出的界面确认信息无误后，单击“绑定并开启防护”，可查看操作行的“防护状态”列显示“防护中”。

   EIP开启防护后，访问控制策略默认动作为“放行”。

新增EIP自动防护

开启新增EIP自动防护后，CFW会在整点自动同步EIP资源并对新增的EIP开启防护，EIP流量将被防火墙防护。

开启方式：进入“弹性公网IP管理”页面，在列表上方开启“新增EIP自动防护”开关。

后续操作

• 查看经过云防火墙的流量趋势和统计结果，请参见流量分析，详细流量记录请参见流量日志。
• 开启防护后，流量默认放行，云防火墙将根据您设置的策略实施拦截：
  • 如果希望实现流量管控，需配置防护策略，请参见通过防护规则拦截/放行流量或通过黑白名单拦截/放行流量。
    • 通过防护规则放行/拦截流量：
      • 添加放行的防护规则：放行后的流量会经过入侵防御IPS、病毒防御等功能的检测。
      • 添加拦截的防护规则：流量将直接拦截。
    • 通过黑白名单放行/拦截流量：
      • 添加白名单：流量将直接放行，不再经过其他功能的检测。
      • 添加黑名单：流量将直接拦截。
  • 如果希望拦截网络攻击，请参见配置入侵防御。

相关操作

• 关闭弹性公网IP防护：
  

  关闭弹性公网IP（EIP）防护后，CFW将不再防护该EIP的流量，可能会导致该EIP遭受恶意攻击，请谨慎操作。

  • 关闭单个弹性公网IP。在所在行的“操作”列中，单击“关闭防护”。
  • 关闭多个弹性公网IP。勾选需要关闭防护的弹性公网IP，单击表格上方的“关闭防护”。