CFW配置最佳实践

云防火墙 CFW 有标准版和专业版两个版本，最直观的区别就是专业版支持东西向流量防护而标准版没有。

南北向流量防护

无论是标准版和专业都是支持南北向流量防护的 --- 其实就是公网进入的流量防护。

1. EIP防护

购买一台ECS并配置EIP地址，购买CFW在资产管理 ---> 弹性公网IP管理界面可以开启对 EIP 的防护。

这里启用后，默认并没有效果，我们还需要配置以下步骤：

1. 在攻击防御（ Attack Defense ） 选项里启用入侵防御和病毒防御功能。因为默认防护模式是观察模式，防护模式有低中高三种可供选择；
2. 配置访问控制策略，设定黑白名单和访问五元组，确认允许的网络范围。

2.网络策略配置

白名单配置 ：需要优先配置该策略，测试发现如果先配置 Rule里全部禁用，再配置白名单会无效，需要停用再启用rule后白名单才可以。

首先可以通过 curl ifconfig.me 获取当前的公网IP，获取后可以将对应的IP配置在白名单里：

规则配置：在规则里我们可以指定允许或阻止的源IP、国家地区，也可以指定来源为所有。

入口流量可以设置为只允许白名单里的IP通过，其他全部禁用：

出口流量还可以设置禁止访问的域名：

3.流量分析

在策略助手和流量分析界面可以看到对应的流量访问信息，比如来源IP、国家、TOP攻击等。

同样在日志审计里可以看到访问控制策略里发生的网络事件。

捐赠本站(Donate)

如您感觉文章有用，可扫码捐赠本站！(If the article useful, you can scan the QR code to donate))