文档首页/ 云防火墙 CFW/ 用户指南/ 开启互联网边界流量防护
更新时间:2024-12-18 GMT+08:00

开启互联网边界流量防护

云防火墙通过对弹性公网IP(EIP)的防护实现互联网边界流量的防护,开启EIP防护后,您的业务流量将经过云防火墙,默认情况下,所有流量都会被放行。

您需配置访问控制策略或IPS防护模式,云防火墙才会实施拦截操作,配置访问控制策略请参见添加防护规则,IPS相关请参见配置入侵防御策略

约束条件

  • 弹性公网IP防护目前不支持IPv6防护。
  • 一个EIP只能在一个防火墙上开启防护。
  • 仅支持当前账号所属企业项目下的弹性公网IP。

对业务的影响

开启或关闭EIP的防护不会造成业务中断,保证流量平滑切换。

开启互联网边界流量防护

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  5. 在左侧导航栏中,选择资产管理 > 弹性公网IP管理,进入“弹性公网IP管理”页面,弹性公网IP信息将自动更新至列表中。
  1. 开启弹性公网IP。

    • 开启单个弹性公网IP:在所在行的操作列中,单击“开启防护”。
    • 开启多个弹性公网IP:勾选需要开启防护的弹性公网IP,单击表格上方的“开启防护”
    • 弹性公网IP防护目前不支持IPv6防护。
    • 一个EIP只能在一个防火墙上开启防护。
    • 仅支持当前账号所属企业项目下的弹性公网IP。

  2. 在弹出的界面确认信息无误后,单击“绑定并开启防护”,可查看操作行的“防护状态”列显示“防护中”

    EIP开启防护后,访问控制策略默认动作为“放行”

相关操作

  • 关闭弹性公网IP防护:
    • 关闭单个弹性公网IP。在所在行的操作列中,单击“关闭防护”。
    • 关闭多个弹性公网IP。勾选需要开启防护的弹性公网IP,单击表格上方的“关闭防护”
  • 新增EIP自动防护:在列表上方单击“新增EIP自动防护”,开启后,新增的EIP将自动开启防护,EIP流量将经过防火墙并被防火墙防护。

后续操作

开启防护后,流量默认放行,云防火墙将根据您设置的策略实施拦截:
  • 如果希望实现流量管控,需配置防护策略,请参见互联网边界防护规则通过添加黑白名单拦截/放行流量
    • 通过防护规则放行/拦截流量:
      • 添加放行的防护规则:放行后的流量会经过入侵防御IPS、病毒防御等功能的检测。
      • 添加拦截的防护规则:流量将直接拦截。
    • 通过黑白名单放行/拦截流量:
      • 添加白名单:流量将直接放行,不再经过其他功能的检测。
      • 添加黑名单:流量将直接拦截。
  • 如果希望拦截网络攻击,请参见拦截网络攻击