Web应用防火墙（原生版）_Web应用防火墙（原生版）文档介绍内容-天翼云

应用场景
天翼云SD-WAN(尊享版)提供一体化的企业网络服务,通过在客户站点部署一条物理专线接入云内,并利用静态/动态IP地址接入骨干网访问互联网,实现专线上网又上云,满足客户一线接入,安全上网和上云,简化多链路运维。企业一线入多云适用于混合云部署、云上灾备等场景。随着企业架构日渐成熟,上云路径逐步深化,其应用部署在天翼云多节点上,核心应用保留在私有云,弹性计算使用专属云,WEB应用部署在公有云。

来自：
帮助文档
天翼云SD-WAN（尊享版）
产品介绍
应用场景
配置日志外发
开启NAT日志在下一代防火墙导航栏,选择“系统 > 日志设置 > 日志管理”。选择“NAT”,勾选“开启NAT日志”后,将所有选项均勾选上,单击“应用”,即可完成NAT日志的开启。

来自：
帮助文档
云等保专区
用户指南
下一代防火墙
下一代防火墙v1.0
配置日志外发
配置平台默认路由
本小节介绍云下一代防火墙配置平台默认路由。云下一代防火墙搭建在VPC内,需使用平台网络进行数据交换,因此需要平台实现由云下一代防火墙的路由转发实现,需登录云平台配置默认路由指向云下一代防火墙地址。打开天翼云官网控制台,【虚拟私有云→VPC→路由表→新建】,下一跳地址输入云下一代防火墙网卡地址即可。

来自：
帮助文档
云下一代防火墙
用户指南
配置平台默认路由
到期与欠费
本节介绍云下一代防火墙到到期与欠费。到期云下一代防火墙到期后,请在3个工作日内完成续订,否则无法正常使用。注意所有在云下一代防火墙后挂载运行的业务均会有业务中断的风险,业务中断的风险及影响还请用户根据自身业务自行评估;云墙到期1天后会锁定配置,无法进行配置变更和运维处理。欠费另外当使用时长超出购买时长时,即属于欠费状态。欠费后,系统会回收云下一代防火墙安全产品,上述产品中的所有配置和信息均无法恢复。

来自：
帮助文档
云下一代防火墙
计费说明
到期与欠费
云原生网关计费说明
本章节介绍云原生网关的计费项、计费方式和计费规则。本产品计费不包含负载均衡和容器服务等IaaS层资源的费用。计费项MSE云原生网关的计费项包含MSE托管的网关实例费用和数据盘费用,其中数据盘费用单独计算。计费方式目前云原生网关提供包年包月和按需付费两种付费模式。按需付费:按需付费是后付费模式,您只需按实际情况进行使用,然后按照使用账单付费即可。为避免造成您的损失,如果您不想再使用此产品,则需要您在应用管理页面内删除应用,系统才会正式停止计费。

来自：
帮助文档
微服务引擎
购买指南
计费说明
云原生网关计费说明
VPN连接服务创建方式二
示例:HUAWEI USG6600配置本章节以Huawei USG6600系列V100R001C30SPC300版本的防火墙的配置过程为例进行说明。假设数据中心的子网为192.168.3.0/24和192.168.4.0/24,VPC下的子网为192.168.1.0/24和192.168.2.0/24,VPC上IPsec隧道的出口公网IP为1.1.1.1(从VPC上IPsec VPN的本端网关参数上获取)。配置步骤登录防火墙设备的命令行配置界面。查看防火墙版本信息。

来自：
帮助文档
VPN连接
快速入门
VPN连接服务创建方式二
VPC环境调整
本小节介绍安全专区云防火墙配置的VPC环境调整。云防火墙需要实现IP地址转换功能,所以需要关闭云主机的网络接口IP地址检查,同时放通相关网络端口。关闭云防火墙虚机网络检查 1.在【天翼云控制中心】页面中的【控制中心】→【计算】→【弹性云主机】,找到承载云防火墙(AQZQ-AF-)的云主机(*表示主机名称)。点击该云主机名称,选择网卡,确认该云主机下有两个网卡。 2.将所有网卡的【源/目的检查】选项设置关闭。 3.确认网卡的安全组是否放通业务流量端口(必须放通TCP/443端口)。

来自：
帮助文档
安全专区
快速入门
云防火墙配置
VPC环境调整
产品定义
灵活的计费模式:支持包年/包月或按需计费模式购买云主机,满足不同应用场景,根据业务波动随时购买和释放资源。数据可靠:基于分布式架构的,可弹性扩展的虚拟块存储服务;具有高数据可靠性,高I/O吞吐能力。安全防护:支持网络隔离,安全组规则保护,远离病毒攻击和木马威胁;Anti-DDoS流量清洗、Web应用防火墙、漏洞扫描等多种安全服务提供多维度防护。弹性易用:根据业务需求和策略,自动调整弹性计算资源,高效匹配业务要求。高效运维:提供控制台、远程终端和API等多种管理方式,给您完全管理权限。

来自：
帮助文档
弹性云主机
产品介绍
产品定义
确认安全需求
本小节介绍云下一代防火墙确认安全需求。确认安全需求订购云下一代防火墙前需确认订购规格及安全功能,按需进行订购。具体规格需求见规格。订购云下一代防火墙时会自动匹配合适的云主机,无需客户单独购买。

来自：
帮助文档
云下一代防火墙
快速入门
确认安全需求
安全增强
主机安全翼MR支持与公有云安全服务集成,支持漏洞扫描、安全防护、应用防火墙、堡垒机、网页防篡改等。针对操作系统和端口部分,提供如下安全措施: 操作系统内核安全加固更新操作系统最新补丁操作系统权限控制操作系统端口管理操作系统协议与端口防攻击应用安全通过如下措施保证大数据业务正常运行: 身份鉴别和认证 Web应用安全访问控制审计安全密码安全数据安全针对海量用户数据,提供如下措施保障客户数据的机密性、完整性和可用性。

来自：
帮助文档
翼MapReduce
产品简介
功能特性
安全增强
绑定网卡
本节介绍如何为下一代防火墙绑定新的网卡。开通下一代防火墙原子能力时,对应原子能力配置的云主机默认只有一张网卡,该网卡为管理口网卡。为了承载业务流量,需要为下一代防火墙对应的云主机添加新的弹性网卡作为业务流量通道。具体绑定的网卡数量根据实际业务网络规划而定。前提条件已购买下一代防火墙资源,且资源状态为“运行中”。操作步骤登录云等保专区控制台。在左侧导航栏,选择“下一代防火墙”,进入云等保专区的下一代防火墙资源页面。在目标资源的操作列,单击“更多 > 绑定网卡”。

来自：
帮助文档
云等保专区
用户指南
下一代防火墙
下一代防火墙v1.0
绑定网卡
应用场景
本章节举例介绍函数计算的典型应用场景,包括:Web应用、数据分析和处理、AI推理、视频转码等。 Web应用 Web应用是一种典型的事件驱动应用。函数计算搭配数据库、缓存、消息中间件等云产品,开发者只需要编写业务代码即可快速构建可靠的、可弹性伸缩的Web应用。这些程序可同时部署在多个数据中心实现高可用运行。简化开发流程:开发者只需专注于编写业务代码,而无需担心底层基础设施的管理和维护,从而大幅简化了开发流程。高可用性:Web应用可以轻松部署在多个数据中心,实现高可用运行。

来自：
帮助文档
函数计算
产品介绍
应用场景
配置用户密码策略
云下一代防火墙首次登录后,需强制修改密码,密码策略及修改账密操作。修改密码 web界面右上角,点击修改密码。按照要求,提供旧密码,并连续输入两次新密码,保存后即修改成功。密码策略配置打开菜单栏,【系统→设备管理→设置及操作→系统设置】,修改对应策略要求即可。

来自：
帮助文档
云下一代防火墙
基础运维指南
配置用户密码策略
操作类
自适应微隔离WEB控制台必需使用何种浏览器?自适应微隔离产品使用了现代浏览器的特性,推荐使用一下浏览器:Chrome 73以上版本Edge 17以上版本Safari 11版本以上

来自：
帮助文档
微隔离防火墙
常见问题
操作类
远程零信任访问常见问题
确认连接器是否对外网络出方向有进行防火墙限制,若有,需放开对应端口的网络出口访问。客户端网络正常,但是客户端访问内部系统失败可能是什么原因? 访问失败存在很多场景,以下列举几种常见情况,如未找到有效解决方式,请联系我们。检查客户端是否处于在线状态,若非在线状态,则隧道连接已断开,无法访问内部系统。检查应用是否针对该用户已授权,若未授权,则无法进行访问。检查应用类型是否选择错误,如ssh 协议选择Web类型应用,则可能导致访问出现异常。查询内网审计日志,判断是否被零信任网关拦截。

来自：
帮助文档
边缘安全加速平台
常见问题
远程零信任访问常见问题
通过安全看板查看攻击防御信息
在左侧导航栏中,单击左上方的,选择“安全云防火墙”,进入云防火墙的总览页面。(可选)当前账号下仅存在单个防火墙实例时,自动进入防火墙详情页面,存在多个防火墙实例时,单击防火墙列表“操作”列的“查看”,进入防火墙详情页面。在左侧导航栏中,选择“攻击防御> 安全看板”,进入“安全看板”页面。在页面上方,选择“互联网边界”或“VPC边界”页签。查看防火墙实例下防护规则的统计信息,您可以在下拉框中选择查询时间。安全看板:IPS检测到的攻击总数、放行/拦截的总数、被攻击的端口个数。

来自：
帮助文档
云防火墙
用户指南
拦截恶意攻击
通过安全看板查看攻击防御信息
开启/切换IPv6
在网络控制台左侧导航栏,选择“IPv6网关 IPv6带宽”,选中上一步创建的IPv6带宽,点击“绑定”(绑定防火墙的虚拟IP)弹出绑定页面,完成配置。登录下一代防火墙系统在云等保专区左侧导航栏,选择“下一代防火墙”,在目标资源右侧操作列单击“配置”,进入下一代防火墙系统。开启IPv6防护开通下一代防火墙v1.0后,还需要配置网络才能开启IPv6防护,请提交工单联系技术支持进行配置。

来自：
帮助文档
云等保专区
用户指南
下一代防火墙
下一代防火墙v1.0
开启/切换IPv6
登录微隔离管理中心（QCC）
本小节介绍微隔离防火墙登录未隔离管理中心(QCC)。前提条件用户确保已经成功安装平台的自适应微隔离管理中心(QCC),开放了10443、6443、8000、60001、60011、60021、60031端口,并且安装客户端的工作负载与管理中心网络可达。 6443为WEB控制台访问端口,10443端口为后台管理使用的端口,8000安装agent的访问端口,60001、600011、60021、60031为agent接入自适应微隔离管理中心的使用端口。

来自：
帮助文档
微隔离防火墙
快速入门
登录微隔离管理中心（QCC）
组件WEB UI便捷访问
3.集群服务名称:具有WEB UI的集群服务有HDFS、YARN、HBase、Spark、Ranger、Doris、Elasticsearch-Kibana等,详情请参考开源组件Web站点。 4.原生UI地址:当集群部署了具备WEB UI的集群服务后,在“原生UI地址”列会默认显示相关集群服务的信息,原生UI地址展示的是“内网地址:端口号”的格式。 5.获取外网访问地址:外网地址展示的是“外网地址:端口号”的格式。

来自：
帮助文档
翼MapReduce
产品介绍
功能特性
组件WEB UI便捷访问
操作类
为加强云存储网关的安全性,可通过配置防火墙权限,限制端口3260的访问来源 IP。

来自：
帮助文档
云存储网关
常见问题
操作类
日志审计（原生版）
日志审计(原生版)(LAS Log Audit Service)是一款全方位保障云上安全的审计产品。通过接入用户网络、主机、安全、数据库以及应用系统设备产生的海量日志信息,为用户提供日志的安全存储、检索、监测、告警等能力,帮助用户满足等保合规要求。

来自：
帮助文档
日志审计（原生版）
网页防篡改（原生版）
网页防篡改(CT-WT,WebpageTampering)是针对网站篡改攻击的一款防护产品,通过文件底层驱动技术对Web站点目录提供全方位的保护,为防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏提供解决方案。

来自：
帮助文档
网页防篡改（原生版）
日志审计（原生版）
日志审计(原生版)(LAS Log Audit Service)是一款全方位保障云上安全的审计产品。通过接入用户网络、主机、安全、数据库以及应用系统设备产生的海量日志信息,为用户提供日志的安全存储、检索、监测、告警等能力,帮助用户满足等保合规要求。

来自：
帮助文档
日志审计（原生版）
计费模式
云下一代防火墙是镜像类产品,计费模式支持包年/包月(预付费)计费方式。订购云下一代防火墙系统会自动匹配合适的云主机,用户无需再单独购买云主机,云主机和云下一代防火墙会同步计费,云主机计费模式请参照云主机计费说明。订购云下一代防火墙需同步提供弹性IP,弹性IP计费模式和带宽请参照弹性IP及带宽的计费说明。说明购买本产品会根据不同的选型配置自动配置云主机,并合计计费。购买即包含基础功能:应用识别、监控统计、应用层访问控制、入侵防御(IPS)、用户认证功能。扩展功能为增值功能,需单独选购。

来自：
帮助文档
云下一代防火墙
计费说明
计费模式
功能特性
本小节介绍日志审计(原生版)功能特性。日志采集全面采集网络行为及数据库操作日志、服务器主机及网络设备日志、常规应用及业务系统日志,并对日志进行统一归并处理,便于后续分析。采集是日志审计(原生版)系统的重要功能模块,它承载了日志或事件采集标准化、过滤、归并功能,是系统进行分析的第一步,用户通过指定需要采集的目标、相关采集参数(Syslog、SNMPTrap等被动方式无需指定)、相关的过滤策略和归并策略等创建日志采集器,以收集相关设备或系统的日志。

来自：
帮助文档
日志审计（原生版）
产品介绍
功能特性
管理时间计划
应用场景配置测试策略:为测试策略设置生效时间段,在测试期间,策略自动生效,确保测试的顺利进行;在测试结束时,策略会自动失效,无需手动操作。控制公网暴露:当业务需要对外部开放端口时(例如仅办公时间开放),设置生效时间段可以有效减少公网暴露,降低潜在的安全风险。特殊时间段的临时需求:临时的公网放行需求,无需担心忘记删除的安全风险。添加时间计划登录管理控制台。在左侧导航栏中,单击左上方的,选择“安全> 云防火墙”,进入云防火墙的总览页面。

来自：
帮助文档
云防火墙
用户指南
配置访问控制策略
访问控制策略管理
管理时间计划
管理安全报告
在左侧导航栏中,单击左上方的,选择“安全云防火墙”,进入云防火墙的总览页面。(可选)当前账号下仅存在单个防火墙实例时,自动进入防火墙详情页面,存在多个防火墙实例时,单击防火墙列表“操作”列的“查看”,进入防火墙详情页面。在左侧导航栏中,选择“系统管理> 安全报告”,进入“安全报告”页面。单击目标报告右上角的按钮切换状态。:当前已开启:当前已关闭修改安全报告登录管理控制台。在左侧导航栏中,单击左上方的,选择“安全> 云防火墙”,进入云防火墙的总览页面。

来自：
帮助文档
云防火墙
用户指南
系统管理
安全报告管理
管理安全报告
绑定虚拟IP
本节介绍如何为下一代防火墙的网卡绑定虚拟IP。前提条件已为下一代防火墙资源绑定网卡。绑定虚拟IP 登录云等保专区控制台。在左侧导航栏,选择“下一代防火墙”,进入云等保专区的下一代防火墙资源页面。在目标资源的操作列,单击“更多 > 绑定虚拟IP”,为网卡绑定虚拟IP。弹出的“绑定虚拟IP”窗口中,在“选择网卡”下拉框中选择一个网卡,在下方列表中选择一个虚拟IP地址。若没有可选的虚拟IP地址,单击“申请虚拟IP地址”,创建一个新的虚拟IP地址。

来自：
帮助文档
云等保专区
用户指南
下一代防火墙
下一代防火墙v1.0
绑定虚拟IP
添加路由子网规则
本节介绍如何为下一代防火墙云主机资源添加子网路由规则。约束限制仅“一类节点”区域购买的下一代防火墙资源支持在云等保专区控制台添加子网路由规则。云等保专区支持的区域请参见支持的区域。前提条件已购买下一代防火墙资源,且资源状态为“运行中”。操作步骤登录云等保专区控制台。在左侧导航栏,选择“下一代防火墙”,进入云等保专区的下一代防火墙资源页面。在目标资源的操作列,单击“更多 > 路由子网规则”。在弹出的“添加子网路由规则”窗口中,为弹性网卡选择路由表。

来自：
帮助文档
云等保专区
用户指南
下一代防火墙
下一代防火墙v1.0
添加路由子网规则
设置Cookie防护
开通套餐为高级版及以上版本,支持Cookie防护相关功能。操作步骤登录边缘安全加速平台控制台。在左侧导航栏中选择【安全能力】,进入【Web应用防火墙】菜单,并在左侧域名列表选择您要防护的域名。进入防护能力-高级安全防护-【Cookie防护】详细设置页。配置说明防护开关控制策略生效的总开关,可以选择关闭、告警或拦截,关闭后Cookie防护将不生效。

来自：
帮助文档
边缘安全加速平台
安全与加速
安全
Web防护
设置Cookie防护
设置合规检测策略
开通套餐为免费版及以上版本,支持合规检测相关功能。操作步骤登录边缘安全加速平台控制台。在左侧导航栏中选择【安全能力】,进入【Web应用防火墙】菜单,并在左侧域名列表选择您要防护的域名。进入防护能力-基础安全防护-【合规性检测】详细设置页。注意域名新增时,会有一条全站合规检测的默认策略,可以通过【防护开关】来开启或者关闭,您也可以自定义合规检测规则。配置说明防护方式防护方式。为合规性检测功能的总开关,关闭则合规性检测的任何规则将不生效。

来自：
帮助文档
边缘安全加速平台
安全与加速
安全
Web防护
设置合规检测策略
独享引擎实例升级最佳实践
单击页面左上方的“服务列表”,选择“安全 Web应用防火墙(独享版)”,进入“安全总览”页面。在左侧导航树中,选择“系统管理 > 独享引擎”,进入“独享引擎”页面。在目标实例所在行的“操作”列,单击“更多 > 添加到ELB”。在“添加到ELB”页面中,选择原独享引擎实例配置的“ELB(负载均衡器)”、“ELB监听器”和“后端服务器组”。单击“确认”,为WAF实例配置业务端口,“业务端口”需要配置为原WAF独享引擎实例实际监听的业务端口。

来自：
帮助文档
Web应用防火墙（独享版）
最佳实践
独享引擎实例升级最佳实践

天翼云最新活动

818算力跃迁·礼遇盛夏

爆款云主机2核2G限时秒杀，28.8元/年起！

免费体验DeepSeek，上天翼云息壤

新老用户均可免费体验2500万Tokens，限时两周

云上钜惠

爆款云主机全场特惠，更有万元锦鲤券等你来领！

算力套餐

让算力触手可及

天翼云AI产品特惠

8折特惠，新老同享不限购

中小企业服务商合作专区

国家云助力中小企业腾飞，高额上云补贴重磅上线

出海产品促销专区

爆款云主机低至2折，高性价比，不限新老速来抢购！

天翼云电脑专场

移动办公新选择，爆款4核8G畅享1年3.5折起，快来抢购！

智算服务

应用商城

定价

合作伙伴

开发者

支持与服务

了解天翼云

天翼云最新活动

产品推荐

弹性云主机

物理机

镜像服务

轻量型云主机

多活容灾服务

天翼云CTyunOS系统

算力互联调度平台

模型推理服务

应用托管

推荐文档

PostgreSQL

充值不成功怎么办

应用数据管理