云防火墙使用最佳实践-凯发k8国际娱乐官网入口

选择云防火墙版本

云防火墙提供了“标准版”、“专业版”供您使用，包括访问控制、入侵防御、流量分析以及日志审计等功能。

详细的功能介绍请参见功能特性

服务版本差异说明请参见服务版本差异

开启弹性公网ip防护

1. 。
2. 单击管理控制台左上角的，选择区域。
3. 在左侧导航树中，单击左上方的，选择“安全与合规 > 云防火墙”，进入云防火墙的概览页面，如图1所示。
   图1 概览
   
4. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。
5. 在左侧导航栏中，选择“资产管理 > 弹性公网ip管理”，进入“弹性公网ip管理”页面，如图 弹性公网ip管理所示。

   （可选）手动更新列表请单击页面右上角“资产同步”，将您的弹性公网ip信息导入至列表中，刷新弹性公网ip列表。

   图2 弹性公网ip管理
   

6. 开启弹性公网ip。
   • 开启单个弹性公网ip。在所在行的“操作”列中，单击“开启防护”。
   • 开启多个弹性公网ip。勾选需要开启防护的弹性公网ip，单击表格上方的“开启防护”。
7. 在弹出的界面确认信息无误后，单击“绑定并开启防护”，可查看操作行的“防护状态”列显示“防护中”。
   

   eip开启防护后，访问控制策略默认动作为“放行”。

开启入侵防御拦截模式

1. 。
2. 单击管理控制台左上角的，选择区域。
3. 在左侧导航树中，单击左上方的，选择“安全与合规 > 云防火墙”，进入云防火墙的概览页面，如图3所示。
   图3 概览
   
4. 在左侧导航栏中，选择“攻击防御 > 入侵防御” 。
5. 在入侵防御界面，页面上方的“防护模式”中，选择防御模式。
   • 观察模式：仅对攻击事件进行检测并记录到日志中。
   • 拦截模式：在发生明确攻击类型的事件和检测到异常ip访问时，将实施自动拦截操作。
     • 拦截模式-宽松：防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。
     • 拦截模式-中等：防护粒度中等。满足大多数场景下的防护需求。
     • 拦截模式-严格：防护粒度精细，全量拦截攻击请求。建议您等待业务运行一段时间后，根据防护效果配置误报屏蔽规则，再开启“严格”模式。

配置外到内的访问策略

1. 。
2. 单击管理控制台左上角的，选择区域。
3. 在左侧导航树中，单击左上方的，选择“安全与合规 > 云防火墙”，进入云防火墙的概览页面，如图4所示。
   图4 概览
   
4. 在左侧导航栏中，选择“访问控制 > 访问策略管理”，进入“访问策略管理”页面。
5. 单击“添加”，在弹出“添加防护规则”对话框，配置防护规则。
   • 添加放行的防护规则。在“添加防护规则”对话框，配置源ip地址，“目的”和“服务”选为“any”，“动作”选择“放行”。
     图5 放行指定ip
     
   • 添加全局阻断。在“添加防护规则”对话框，配置为any，动作选择阻断，始终保持该条规则优先级最低。
     图6 拦截所有流量
     

配置内到外的访问策略

1. 。
2. 单击管理控制台左上角的，选择区域。
3. 在左侧导航树中，单击左上方的，选择“安全与合规 > 云防火墙”，进入云防火墙的概览页面，如图7所示。
   图7 概览
   
4. 在左侧导航栏中，选择“访问控制 > 访问策略管理”，进入“访问策略管理”页面。
5. 单击“添加”，在弹出“添加防护规则”对话框，配置防护规则。
   • 添加放行的防护规则。在“添加防护规则”对话框，配置源ip地址，“目的”和“服务”为“any”，“动作”选择“放行”。
     图8 放行指定ip（内到外）
     
   • 在“添加防护规则”对话框，配置“源”为“any”，“目的”选择“域名”，“服务”为“any”，“动作”选择“放行”。
     图9 内到外流量放行策略（域名）
     
   • 添加全局阻断。在“添加防护规则”对话框，“源”、“目的”和“服务”配置为“any”，“动作”选择“阻断”，始终保持该条规则优先级最低。
     图10 拦截所有流量（内到外）
     

查看防护效果

查看防护详情请参见。