選擇云防火墻版本

云防火墻提供了“標準版”供您使用，包括訪問控制、入侵防御、流量分析以及日志審計等功能。

詳細的功能介紹請參見功能特性。

開啟彈性公網IP防護

1.登錄天翼云控制中心。

2.在左側導航樹中，單擊左上方的“服務列表”，選擇“安全 > 云防火墻”，進入云防火墻的概覽頁面。

3.在左側導航欄中，選擇“資產管理 > 彈性公網IP管理”，進入“彈性公網IP管理”頁面。

4.單擊頁面右上角“資產同步”，將您的彈性公網IP信息導入至列表中，刷新彈性公網IP列表。

說明
彈性公網IP防護目前僅“廣州4”支持IPv6。

5.開啟彈性公網IP。

• 開啟單個彈性公網IP。在所在行的“操作”列中，單擊“開啟防護”。
• 開啟多個彈性公網IP。勾選需要開啟防護的彈性公網IP，單擊表格上方的“開啟防護”。

6.在彈出的界面確認信息無誤后，單擊“綁定并開啟防護”，可查看操作行的“防護狀態”列顯示“防護中”。

說明
EIP開啟防護后，訪問控制策略默認動作為“放行”。

開啟入侵防御攔截模式

1.登錄天翼云控制中心。

2.在左側導航樹中，單擊左上方的“服務列表”，選擇“安全 > 云防火墻”，進入云防火墻的概覽頁面。

3.在入侵防御界面，頁面上方的“防護模式”中，選擇防御模式。

• 觀察模式：僅對攻擊事件進行檢測并記錄到日志中。
• 攔截模式：在發生明確攻擊類型的事件和檢測到異常IP訪問時，將實施自動攔截操作。
  • 攔截模式-寬松：防護粒度較粗。攔截可信度高且威脅程度高的攻擊事件。
  • 攔截模式-中等：防護粒度中等。滿足大多數場景下的防護需求。
  • 攔截模式-嚴格：防護粒度精細，全量攔截攻擊請求。建議您等待業務運行一段時間后，根據防護效果配置誤報屏蔽規則，再開啟“嚴格”模式。

配置外到內的訪問策略

1.登錄天翼云控制中心。

2.在左側導航樹中，單擊左上方的“服務列表”，選擇“安全 > 云防火墻”，進入云防火墻的概覽頁面。

3.在左側導航欄中，選擇“訪問控制 > 訪問策略管理”，進入“訪問策略管理”頁面。

4.單擊“添加規則”，在彈出“添加防護規則”對話框，配置防護規則。

• 添加放行的防護規則。在“添加防護規則”對話框，配置源地址和目的地址，協議選擇TCP或者特定協議，填寫源端口和目的端口，動作選擇放行。源地址和目的地址可設置為IP地址或者IP地址組。

  • 源：可設置為IP地址或者IP地址組
  • 目的：ANY
  • 服務：ANY
  • 動作：放行

• 添加全局阻斷。在“添加防護規則”對話框，配置0.0.0.0/0，動作選擇阻斷，始終保持該條規則優先級最低。

  • 源：ANY
  • 目的：ANY
  • 服務：ANY
  • 動作：阻斷

配置內到外的訪問策略

1.登錄天翼云控制中心。

2.在左側導航樹中，單擊左上方的“服務列表”，選擇“安全 > 云防火墻”，進入云防火墻的概覽頁面。

3.在左側導航欄中，選擇“訪問控制 > 訪問策略管理”，進入“訪問策略管理”頁面。

4.單擊“添加規則”，在彈出“添加防護規則”對話框，配置防護規則。

• 在“添加防護規則”對話框，配置源地址和目的地址，協議選擇TCP或者特定協議，填寫源端口和目的端口，動作選擇放行。源地址和目的地址可設置為IP地址或者IP地址組。
• 在“添加防護規則”對話框，配置源地址和目的地址，目的類型選擇“域名”，服務選擇TCP或特定協議，配置源端口和目的端口，動作選擇放行。CFW支持基于域名的訪問控制策略。
• 在“添加防護規則”對話框，配置源地址和目的地址，服務選擇TCP或特定協議，配置源端口和目的端口，動作選擇阻斷。

查看網絡流量

開啟彈性公網IP防護后，可以查看網絡流量。

1.登錄天翼云控制中心。

2.在左側導航樹中，單擊左上方的“服務列表”，選擇“安全 > 云防火墻”，進入云防火墻的概覽頁面。

3.在左側導航樹中，選擇“流量分析”，進入“流量分析”頁面，可查看不同時間段互聯網出入口流量、攻擊趨勢和TOP訪問IP。

4.選擇“主動外聯訪問”頁簽，查看不同時間段主動外聯的出入口流量，以及攻擊趨勢。

查看日志審計

開啟彈性公網IP防護和入侵檢測基礎防御后，可以查看日志審計。

1.登錄天翼云控制中心。

2.在左側導航樹中，單擊左上方的“服務列表”，選擇“安全 > 云防火墻”，進入云防火墻的概覽頁面。

3.在左側導航樹中，選擇“日志審計”，進入“攻擊事件日志”頁面，可查看近一周的攻擊事件詳情。

4.選擇“訪問控制日志”頁簽，可查看近一周的訪問控制情況。若需要修改指定IP的訪問控制的響應動作，可配置訪問控制策略或添加黑白名單。

5.選擇“流量日志”頁簽，可查看近一周的流量字節數和報文數。