文档首页/ 云防火墙 CFW/ 快速入门/ 配置防护规则放行指定EIP的入方向流量
更新时间:2024-10-24 GMT+08:00
查看PDF
分享

配置防护规则放行指定EIP的入方向流量

配置合适的防护规则能有效地帮助您对云上资产与互联网之间的流量进行精细化管控,防止内部威胁扩散,增加安全战略纵深。

本文指导您通过标准版防火墙配置防护规则实现放行指定弹性公网IP(EIP)的入方向流量,帮助您快速精细化管控云上资产的流量。

操作流程

操作步骤

说明

准备工作

注册华为账号、开通华为云,为账户充值、赋予CFW权限。

步骤一:购买标准版云防火墙

购买CFW,选择防护的区域、版本规格(本文以标准版为例)等信息。

步骤二:开启指定EIP的防护

在CFW上对需要防护的EIP开启防护,使流量经过防火墙。

步骤三:添加防护规则——阻断所有入方向流量

配置一条阻断所有入方向流量的防护规则,并将它优先级置于最低。

步骤四:添加防护规则——放行访问指定EIP的入方向流量

配置一条放行指定EIP(本文以xx.xx.xx.1为例)入方向流量的防护规则,并将它优先级设置在阻断规则之上。

步骤五:通过访问控制日志查看命中详情

查看防护规则是否生效。

操作视频

本视频介绍如何配置防护规则放行指定弹性公网IP(EIP)的入方向流量。

准备工作

  1. 在购买云防火墙之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云实名认证

    如果您已开通华为云并进行实名认证,请忽略此步骤。

  2. 请保证账户有足够的资金,防止购买云防火墙失败。具体操作请参见账户充值
  3. 请确保已为账号赋予相关CFW权限。具体操作请参见创建用户组并授权使用CFW
    表1 CFW系统角色

    角色名称

    描述

    类别

    依赖关系

    CFW FullAccess

    云防火墙服务的所有权限。

    系统策略

    CFW ReadOnlyAccess

    云防火墙服务的只读权限。

    系统策略

步骤一:购买标准版云防火墙

云防火墙提供了“基础版”“标准版”“专业版”供您使用,包括访问控制、入侵防御、流量分析以及日志审计等功能。

本文以购买标准版云防火墙为例进行介绍,如需购买其他版本请参见购买云防火墙,各版本功能差异请参见服务版本差异

  1. 登录管理控制台,在左侧导航树中,单击左上方的,选择安全与合规 > 云防火墙
  2. 单击“购买云防火墙”,进入“购买云防火墙”页面,配置参数。
    本示例中仅解释必要参数,其他参数根据具体情况选择。

    参数

    示例

    参数说明

    区域

    华北-北京四

    选择资源(EIP)所在的区域。

    购买的云防火墙只能在当前选择的区域使用,如需在其它区域使用,请切换到对应区域进行购买。有关支持购买CFW的区域说明,请参见云防火墙支持哪些区域?

    版本规格

    标准版。

    选择服务版本。
  3. 确认信息无误后,单击“立即购买”
  4. 确认订单详情,阅读并勾选“我已阅读并同意《华为云防火墙服务声明》”,单击右下角“去支付”
  5. “付款”页面,选择付款方式进行付款。

步骤二:开启指定EIP的防护

  1. 在左侧导航栏中,选择资产管理 > 弹性公网IP管理,进入“弹性公网IP管理”页面。
  2. 开启弹性公网IP。
    • 开启单个弹性公网IP:在所在行的操作列中,单击“开启防护”。
    • 开启多个弹性公网IP:勾选需要开启防护的弹性公网IP,单击表格上方的“开启防护”
    • 弹性公网IP防护目前不支持IPv6防护。
    • 一个EIP只能在一个防火墙上开启防护。
    • 仅支持当前账号所属企业项目下的弹性公网IP。
  3. 在弹出的界面确认信息无误后,单击“绑定并开启防护”,可查看操作行的“防护状态”列显示“防护中”

    EIP开启防护后,访问控制策略默认动作为“放行”

步骤三:添加防护规则——阻断所有入方向流量

  1. 在左侧导航栏中,选择访问控制 > 访问策略管理,进入“访问策略管理”页面。
  2. 单击“添加”,在弹出的“添加防护规则”中,填写参数。

    本示例中仅解释必要参数,其他参数配置请参见通过添加防护规则拦截/放行流量

    图1 拦截所有流量

    参数

    示例

    参数说明

    方向

    外-内(表示入方向流量)

    选择流量的方向:

    • 外-内:互联网访问云上资产(EIP)。
    • 内-外:云上资产(EIP)访问互联网。

    Any

    设置访问流量中发送数据的地址参数。

    目的

    Any

    设置访问流量中的接收数据的地址参数。

    服务

    Any

    设置协议类型、源端口和目的端口。

    应用

    Any

    设置针对应用层协议的防护策略。

    动作

    阻断

    设置流量经过防火墙时的处理动作。

    • 放行:防火墙允许此流量转发。
    • 阻断:防火墙禁止此流量转发。

    策略优先级

    置顶(已设置过防护规则时,需选择“移动至选中规则后”,将本条规则设置为最低优先级)

    设置该策略的优先级:

    • 置顶:表示将该策略的优先级设置为最高。
    • 移动至选中规则后:表示将该策略优先级设置到某一规则后。
  3. 单击“确认”,完成配置防护规则。

步骤四:添加防护规则——放行访问指定EIP的入方向流量

  1. “访问策略管理”页面的“防护规则”页签中,单击“添加”,在弹出的“添加防护规则”中,填写以下参数。
    图2 放行指定IP

    参数

    示例

    参数说明

    方向

    外-内(表示入方向流量)

    选择流量的方向:

    • 外-内:互联网访问云上资产(EIP)。
    • 内-外:云上资产(EIP)访问互联网。

    Any

    设置访问流量中发送数据的地址参数。

    目的

    xx.xx.xx.1

    设置访问流量中的接收数据的地址参数。

    服务

    Any

    设置协议类型、源端口和目的端口。

    应用

    Any

    设置针对应用层协议的防护策略。

    动作

    放行

    设置流量经过防火墙时的处理动作。

    • 放行:防火墙允许此流量转发。
    • 阻断:防火墙禁止此流量转发。

    策略优先级

    置顶(至少需高于上一条阻断规则)

    设置该策略的优先级:

    • 置顶:表示将该策略的优先级设置为最高。
    • 移动至选中规则后:表示将该策略优先级设置到某一规则后。
  2. 单击“确认”,完成配置防护规则。

步骤五:通过访问控制日志查看命中详情

在左侧导航栏中,选择日志审计 > 日志查询。默认进入“攻击事件日志”页面,选择“访问控制日志”页签。

访问控制日志满足以下记录时,证明规则已生效:
  • “目的IP”列是放行的EIP(例如本文中设置的xx.xx.xx.1):对应的“响应动作”“放行”
  • “目的IP”列是其余IP地址:对应的“响应动作”“阻断”

相关信息

  • 关于添加防护规则的详细参数说明请参见添加防护规则
  • 如果希望防护其他账号下的EIP,您需要将其他账号添加至防火墙实例的“多账号管理”中,具体操作请参见添加组织成员账号

相关文档