选择云防火墙版本
云防火墙提供了“标准版”供您使用,包括访问控制、入侵防御、流量分析以及日志审计等功能。
详细的功能介绍请参见功能特性。
开启弹性公网IP防护
1.登录天翼云控制中心。
2.在左侧导航树中,单击左上方的
“服务列表”,选择“安全 > 云防火墙”,进入云防火墙的概览页面。
3.在左侧导航栏中,选择“资产管理 > 弹性公网IP管理”,进入“弹性公网IP管理”页面。
4.单击页面右上角“资产同步”,将您的弹性公网IP信息导入至列表中,刷新弹性公网IP列表。
说明弹性公网IP防护目前不支持IPv6。
5.开启弹性公网IP。
- 开启单个弹性公网IP。在所在行的“操作”列中,单击“开启防护”。
- 开启多个弹性公网IP。勾选需要开启防护的弹性公网IP,单击表格上方的“开启防护”。
6.在弹出的界面确认信息无误后,单击“绑定并开启防护”,可查看操作行的“防护状态”列显示“防护中”。
说明EIP开启防护后,访问控制策略默认动作为“放行”。
开启入侵防御拦截模式
1.登录天翼云控制中心。
2.在左侧导航树中,单击左上方的“服务列表”,选择“安全 > 云防火墙”,进入云防火墙的概览页面。
3.在入侵防御界面,页面上方的“防护模式”中,选择防御模式。
- 观察模式:仅对攻击事件进行检测并记录到日志中。
- 拦截模式:在发生明确攻击类型的事件和检测到异常IP访问时,将实施自动拦截操作。
- 拦截模式-宽松:防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。
- 拦截模式-中等:防护粒度中等。满足大多数场景下的防护需求。
- 拦截模式-严格:防护粒度精细,全量拦截攻击请求。建议您等待业务运行一段时间后,根据防护效果配置误报屏蔽规则,再开启“严格”模式。
配置外到内的访问策略
1.登录天翼云控制中心。
2.在左侧导航树中,单击左上方的“服务列表”,选择“安全 > 云防火墙”,进入云防火墙的概览页面。
3.在左侧导航栏中,选择“访问控制 > 访问策略管理”,进入“访问策略管理”页面。
4.单击“添加规则”,在弹出“添加防护规则”对话框,配置防护规则。
-
添加放行的防护规则。在“添加防护规则”对话框,配置源地址和目的地址,协议选择TCP或者特定协议,填写源端口和目的端口,动作选择放行。源地址和目的地址可设置为IP地址或者IP地址组。
- 源:可设置为IP地址或者IP地址组
- 目的:ANY
- 服务:ANY
- 动作:放行
-
添加全局阻断。在“添加防护规则”对话框,配置0.0.0.0/0,动作选择阻断,始终保持该条规则优先级最低。
- 源:ANY
- 目的:ANY
- 服务:ANY
- 动作:阻断
配置内到外的访问策略
1.登录天翼云控制中心。
2.在左侧导航树中,单击左上方的“服务列表”,选择“安全 > 云防火墙”,进入云防火墙的概览页面。
3.在左侧导航栏中,选择“访问控制 > 访问策略管理”,进入“访问策略管理”页面。
4.单击“添加规则”,在弹出“添加防护规则”对话框,配置防护规则。
- 在“添加防护规则”对话框,配置源地址和目的地址,协议选择TCP或者特定协议,填写源端口和目的端口,动作选择放行。源地址和目的地址可设置为IP地址或者IP地址组。
- 在“添加防护规则”对话框,配置源地址和目的地址,目的类型选择“域名”,服务选择TCP或特定协议,配置源端口和目的端口,动作选择放行。CFW支持基于域名的访问控制策略。
- 在“添加防护规则”对话框,配置源地址和目的地址,服务选择TCP或特定协议,配置源端口和目的端口,动作选择阻断。
查看网络流量
开启弹性公网IP防护后,可以查看网络流量。
1.登录天翼云控制中心。
2.在左侧导航树中,单击左上方的“服务列表”,选择“安全 > 云防火墙”,进入云防火墙的概览页面。
3.在左侧导航树中,选择“流量分析”,进入“流量分析”页面,可查看不同时间段互联网出入口流量、攻击趋势和TOP访问IP。
4.选择“主动外联访问”页签,查看不同时间段主动外联的出入口流量,以及攻击趋势。
查看日志审计
开启弹性公网IP防护和入侵检测基础防御后,可以查看日志审计。
1.登录天翼云控制中心。
2.在左侧导航树中,单击左上方的“服务列表”,选择“安全 > 云防火墙”,进入云防火墙的概览页面。
3.在左侧导航树中,选择“日志审计”,进入“攻击事件日志”页面,可查看近一周的攻击事件详情。
4.选择“访问控制日志”页签,可查看近一周的访问控制情况。若需要修改指定IP的访问控制的响应动作,可配置访问控制策略或添加黑白名单。
5.选择“流量日志”页签,可查看近一周的流量字节数和报文数。
