量。 配置及使用流程 VPC边界防火墙企业路由器模式因版本依赖，在不同局点上有着“新版”和“旧版”两个版本。 新版VPC边界防火墙：配置流程请参见表 企业路由器模式（新版）配置及使用流程，配置文档请参见企业路由器模式（新版）。 图1 VPC边界防火墙（新版） 旧版VPC边界防火墙：配置流程请参见图

查看更多 →

创建VPC边界防火墙 VPC边界防火墙能够检测和统计VPC间的通信流量数据，帮助您发现异常流量。开启VPC边界防火墙之前，您需要先创建VPC边界防火墙并关联企业路由器。 前提条件 当前账号下需存在可用的企业路由器（企业路由器限制）。 关于企业路由器的收费，请参见企业路由器计费说明。

查看更多 →

在左侧导航栏中，选择“资产管理 > VPC边界防火墙管理”，进入“VPC边界防火墙管理”页面。 配置企业路由器关联子网和云墙关联子网。单击“创建防火墙”，进入“创建VPC间防火墙”页面，配置企业路由器和关联子网信息。 图1 创建VPC边界防火墙（旧版） 表1 创建VPC边界防火墙参数说明 参数名称

查看更多 →

永久关闭VPC边界防护后恢复企业路由器配置 如果业务后续不再需要VPC边界流量防护，在关闭VPC边界防护后，需要手动恢复企业路由器（ER）的配置。 本节指导您恢复ER的配置，恢复后，流量将直接从VPC1 --> ER --> VPC2，不再经过云防火墙。 应用场景 当前业务不再需要VPC边界防火墙防护。

查看更多 →

企业路由器模式（旧版） 创建VPC边界防火墙 配置企业路由器 开启/关闭VPC间边界防火墙 父主题： 开启VPC边界流量防护

查看更多 →

在企业路由器中添加CFW连接 操作场景 在企业路由器中添加“云防火墙（CFW）”连接，即创建VPC边界防火墙时选择企业路由器，则会在企业路由器的连接列表中看到对应的“云防火墙（CFW）”连接。 VPC边界防火墙支持VPC之间通信流量的访问控制，可以实现VPC内业务互访活动的可视化与安全防护。

查看更多 →

开启VPC边界流量防护 VPC边界防火墙概述 企业路由器模式（新版） 企业路由器模式（旧版） 管理VPC边界防火墙

查看更多 →

企业路由器模式（新版） 创建VPC边界防火墙 配置企业路由器并将流量引至云防火墙 开启VPC边界防火墙并确认流量经过云防火墙 父主题： 开启VPC边界流量防护

查看更多 →

云防火墙支持跨账号防护，防护前需进行以下设置： 互联网边界跨账号防护请参见多账号管理概述。 VPC边界跨账号防护需在配置企业路由器时添加VPC连接时，将当前账号A的企业路由器共享至其它账号B，共享成功后在账号B中添加连接，后续配置仍在账号A中进行，VPC边界防火墙介绍请参见VPC边界防火墙概述。 父主题： 产品咨询

查看更多 →

业务边界 根据业务特点，由于生产环境需对公网提供服务，同时也需要与其它IDC进行互联，需建立与企业内网(IDC)互联的VPN通道，同时需要设置云上与云下以及云上与互联网之间的访问控制策略。 针对DMZ区、内网应用区、管理区，由于能够被外部访问，建议采取相应的边界防护措施。 VPN

查看更多 →

户，不能采用root用户直接运行。镜像中只安装运行时依赖的安全包，减少镜像的大小，同时安装包需要更新到最新的无漏洞版本。敏感信息和镜像解耦，可以在服务部署时配置，不能直接硬编码在Dockerfile中。定期针对镜像进行安全扫描，及时安装补丁修复漏洞。增加健康检查接口，确保健康检查

查看更多 →

效管理和控制主机外联行为。 企业路由器 企业路由器（Enterprise Router, ER）可以连接VPC或本地网络来构建中心辐射型组网，是云上大规格，高带宽，高性能的集中路由器。 云墙关联子网 云墙关联子网是VPC边界防火墙中的参数。用户配置网段后，云防火墙自动分配“云墙关

查看更多 →

查看日志：在左侧导航栏中，选择“日志审计 > 日志查询” ，选择“流量日志 > VPC边界防火墙”页签。 有日志记录：云防火墙已成功防护VPC间流量。 无日志记录，排查企业路由器配置，请参见配置企业路由器并将流量引至云防火墙。 后续操作 如果您需要添加新的防护VPC，请参见新增防护VPC。

查看更多 →

开启/关闭VPC间边界防火墙 配置完成后，防火墙默认为“未开启”状态，此时流量只经过企业路由器，未转发到防火墙。您可选择手动开启或关闭VPC间防火墙功能。 前提条件 已购买CFW专业版。 已配置企业路由器。 约束条件 仅专业版支持VPC间防火墙防护功能。 操作步骤 登录管理控制台。

查看更多 →

AP-Router、SRM、Hybrids 服务器 部署Anti-DDoS防护，推荐使用华为云Anti-DDoS流量清洗服务，对相应的EIP进行DDoS防护。 WAF 根据业务特点，由于开发测试环境需向互联网提供Web应用服务，建议部署 Web应用防火墙 ，应对诸如OWASP TOP10

查看更多 →

USG6502E-C、USG6503E-C 边界防护与响应服务、 漏洞扫描服务 ：V600R007C20SPC300及其后续版本 云日志审计服务：V600R007C20SPC500及其后续版本 - USG6603F-C 边界防护与响应服务：V600R021C00SPC100（必须安装V600R021SPH002补丁）及其后续版本

查看更多 →

关闭VPC边界防护 如果业务遇到异常拦截，可以暂时关闭VPC边界防火墙，关闭期间，防火墙对流量不做任何检测。 如果您的业务后续不再需要VPC边界流量防护，关闭防护后，还需手动恢复企业路由器（ER）的配置，请参见永久关闭VPC边界防护后恢复企业路由器配置。 关闭VPC边界防火墙（新版）

查看更多 →

VPC间的流量。 适用版本 新版VPC边界防火墙，即配置界面如下： 图1 VPC边界防火墙（新版） 配置原理 您需要按以下步骤操作： 创建防火墙（以命名vpc-cfw-er为例）并关联子网，请参见步骤一：创建防火墙。 配置企业路由器。 配置所有VPC（包括防火墙VPC和需要互联的

查看更多 →

管理VPC边界防火墙 新增防护VPC 关闭VPC边界防护 永久关闭VPC边界防护后恢复企业路由器配置 父主题： 开启VPC边界流量防护

查看更多 →

报的数据。如果不同步，建议通过配置同源的NTP服务器来保证设备和平台时间同步。 操作步骤（上报基础数据） 缺省情况下，基础数据上报开关默认已开启。如需修改，需单击菜单栏“ > 高级配置”进入高级配置界面调整开关。 登录华为乾坤控制台。 进入高级配置界面。 在工作台首页地图上单击“我的服务

查看更多 →

自动阻断，云端配置的黑名单也不会生效。 本场景中天关设备旁挂的核心交换机需要支持镜像功能。 交换机上需要将镜像端口入方向和出方向的报文都镜像到观察端口，即双向镜像。 若已经开通边界防护与响应服务，需要通过配置全局白名单来提升安全状态检测的准确性。 父主题： 企业边界天关旁路镜像流

查看更多 →