开启互联网边界流量防护
云防火墙通过对弹性公网IP(EIP)的防护实现互联网边界流量的防护,开启EIP防护后,您的业务流量将经过云防火墙,默认情况下,所有流量都会被放行。
开启防护后,您可以根据业务需求,配置访问控制策略或IPS防护模式,云防火墙会根据具体配置,检测流量实施拦截/放行操作。
配置访问控制策略详细操作请参见添加防护规则,IPS相关详细介绍及操作请参见配置入侵防御策略。
什么是互联网边界流量
互联网边界流量是云资产(包括IPv4和IPv6)与互联网之间的通信流量(即南北向流量),分为入云流量(互联网访问云资产)和出云流量(云资产主动访问互联网)。
互联网边界流量防护介绍视频
支持的防护对象
绑定了弹性公网IP(EIP)的资源,例如弹性云服务器(ECS)、NAT网关(NAT)、弹性负载均衡(ELB)等。
防护规格
互联网边界的防护规格分为防护公网IP数和互联网边界防护带宽。
约束条件
- 一个EIP只能在一个防火墙上开启防护。
- 单个防火墙实例默认支持防护的EIP个数如下:
- 包年/包月防火墙:
- 标准版:20个
- 专业版:50个
您可购买扩展包增加防护个数,最多增加至2000个。购买扩展包的操作方式请参见变更云防火墙扩展包数量。
- 按需计费防火墙(专业版):1000个,不支持增加防护个数。
- 包年/包月防火墙:
对业务的影响
开启EIP防护前,请确认是否有阻断所有流量的防护规则或黑名单:
开启互联网边界流量防护
- 登录CFW控制台。
- 单击管理控制台左上角的
,选择区域。 - (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择,进入“弹性公网IP管理”页面,弹性公网IP(包括IPv4和IPv6)信息将自动更新至列表中。
- 开启弹性公网IP。
一个EIP只能在一个防火墙上开启防护。
- 开启单个弹性公网IP:在所在行的列中,单击“开启防护”。
- 开启多个弹性公网IP:勾选需要开启防护的弹性公网IP,单击列表上方的“开启防护”。
- 在弹出的界面确认信息无误后,单击“绑定并开启防护”,可查看操作行的“防护状态”列显示“防护中”。
EIP开启防护后,系统默认放行所有流量,即访问控制策略默认动作为“放行”。
新增EIP自动防护
开启新增EIP自动防护后,CFW会在整点自动同步EIP资源并对新增的EIP开启防护,EIP流量将被防火墙防护。
开启方式:进入CFW的“弹性公网IP管理”页面,在页面上方的“当前防火墙信息”中开启“新增EIP自动防护”开关,并在弹出的确认框中单击“确认开启”。
后续操作
- 查看经过云防火墙的流量趋势和统计结果,请参见流量分析,详细流量记录请参见流量日志。
- 开启防护后,流量默认放行,云防火墙将根据您设置的策略实施拦截:
表2 设置策略 目标动作
操作指导
如果希望实现流量管控
可通过配置防护策略来进行处理,具体说明如下:
- 通过防护规则放行/拦截流量:
- 添加放行的防护规则:放行后的流量会经过入侵防御IPS、病毒防御等功能的检测。
- 添加拦截的防护规则:流量将直接拦截。
- 通过黑白名单放行/拦截流量:
- 添加白名单:流量将直接放行,不再经过其他功能的检测。
- 添加黑名单:流量将直接拦截。
详细操作请参见通过防护规则拦截/放行互联网边界流量或通过黑白名单拦截/放行流量。
如果希望拦截网络攻击
可通过配置入侵防御来进行处理,详细操作请参见配置IPS基础防御。
- 通过防护规则放行/拦截流量:
相关操作
- 关闭弹性公网IP防护:
关闭弹性公网IP(EIP)防护后,CFW将不再防护该EIP的流量,可能会导致该EIP遭受恶意攻击,请谨慎操作。
- 关闭单个弹性公网IP:在待关闭防护的弹性公网IP所在行的列中,单击“关闭防护”,并在弹出的确认框中单击“确认”。
- 关闭多个弹性公网IP:勾选待关闭防护的弹性公网IP,单击表格上方的“关闭防护”,并在弹出的确认框中单击“确认”。
- 导出弹性公网IP列表信息:在列表上方,单击“导出”,根据数据范围选择选项。
- 如果需要防护其他账号下的EIP,请参见多账号防护。
- 一键关闭/恢复指定防火墙下的EIP防护:
- 在弹性公网IP列表中,如果弹性公网IP较多,可以通过搜索功能,选择筛选条件筛选目标弹性公网IP。筛选成功后,可以将当前生成的筛选条件保存为快捷筛选集,后续通过筛选下拉面板快速复用。
