华为云防火墙是新一代的云原生防火墙服务,为你解读其规则、配置与优势:
规则
- 基于 “最少放行原则”:华为云防火墙摒弃传统防火墙粗放的规则配置方式,基于此理念设计。弹性云服务器开启防护后,默认访问控制策略为全拒绝,用户需通过添加允许策略规则实现最少放行。若已放行的业务区中有需要阻断的 EIP,也可添加拒绝策略规则进行阻断。
- 多种访问控制方式:
- 基于五元组:即通过源 IP 地址、目的 IP 地址、协议号、源端口、目的端口来设置访问控制策略。
- 基于域名:可以针对域名设置访问控制,方便对特定网站或服务进行访问限制。
- 基于 IPS:IPS 支持观察模式和拦截模式,选择拦截模式时,云防火墙会根据 IPS 规则检测出符合攻击特征的流量并进行拦截。还支持对 IP 地址组、黑名单、白名单设置 ACL 访问控制策略,便于批量管理和控制访问。
配置
- 3 步快速开启防护:
- 购买云防火墙:登录华为云控制台,选择 “安全与合规> 云防火墙 CFW”,首次使用单击 “立即购买 CFW”,选择版本规格、扩展包及购买时长。
- 添加防护对象:进入 “云防火墙> 资产管理 > 弹性公网 IP 管理”,弹性公网 IP 信息会自动更新至列表,在需要开启防护的 EIP 所在行的 “操作” 列中,单击 “开启防护”,选择防护规则类型,填写名称,源目的对象和服务,选择动作和策略优先级。
- 配置访问控制策略:进入 “云防火墙> 访问控制 > 访问策略管理”,单击 “添加” 按钮,在弹出的 “添加防护规则” 中填写新的防护信息,单击 “确认” 完成配置。
- 与其他服务的配置关系:
- 与网络 ACL:不允许网络 ACL 和云防火墙共存。若项目内已使用网络 ACL,且需要使用拓扑图方式查看网络访问关系,建议关闭网络 ACL,使用云防火墙重新配置规则;若不需要使用拓扑图方式查看网络访问关系,建议网络 ACL 保持原先配置,不使用云防火墙。若项目内未使用网络 ACL,新增云防火墙时,建议配置云防火墙,可以关闭网络 ACL。
- 与安全组:由于云防火墙和安全组功能相似,不建议共存。若两者共同存在,入方向先云防火墙,后安全组;出方向先安全组,后云防火墙。若项目内已使用安全组,且需要使用拓扑图方式查看网络访问关系,建议关闭或全放通安全组,使用云防火墙重新配置规则;若不需要使用拓扑图方式查看网络访问关系,建议安全组保持原先配置,不使用云防火墙。若项目内未使用安全组,新增云防火墙时,建议配置云防火墙,可以关闭或全放通安全组。
优势
- 智能防御:集成华为云安全能力积累和华为全网威胁情报,提供 AI 入侵防御引擎,可对恶意流量实时检测和拦截,并与安全服务全局联动,能防御木马蠕虫、注入攻击、漏洞扫描、网络钓鱼等多种攻击。
- 灵活扩展:可对全流量进行精细化管控,包括互联网边界防护、跨 VPC 的流量防护,能防止外部入侵、内部渗透攻击和从内到外的非法访问。同时,带宽、EIP、安全策略等关键性能规格可无限扩展,集群部署高可靠,能满足大规模流量的安全防护。
- 极简应用:作为云原生防火墙,支持一键开启,多引擎安全策略一键导入,资产自动秒级盘点,操作页面可视化呈现,可大幅提高管理和防护效率。
- 微隔离:提供弹性云服务器网卡到网卡级细粒度的访问规则配置能力,不管弹性云服务器网卡之间是否在一个子网内部,都可以进行访问隔离。
- 流量可视:基于拓扑图访问关系辅助用户定义策略,提供流量可视拓扑图,辅助客户完成安全规则的半自动化配置,降低人工复杂度,还可对已有的安全规则进行预验证,避免遗漏误配。
- 业务标签:基于业务标签进行防护对象定义,配置安全规则不用记忆 IP,只需将弹性云服务器打上业务标签,用标签到标签的访问规则来代替传统 IP 到 IP 的防火墙规则,进一步降低安全运维复杂度。
