华为云云防火墙CFW对接使用完全指南:从开通到企业级VPC边界部署
1. 云防火墙CFW产品概述
华为云云防火墙(Cloud Firewall,简称CFW)是新一代云原生防火墙服务,为云上业务提供互联网边界和VPC边界的全方位流量防护。与传统的硬件防火墙或虚拟防火墙不同,CFW深度整合华为云底层网络架构,以服务化的方式提供实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等核心能力。
CFW的防护对象覆盖两大边界:互联网边界主要防护弹性公网IP(EIP)及绑定了EIP的云资源,如弹性云服务器ECS、NAT网关、弹性负载均衡ELB等;VPC边界则通过企业路由器(Enterprise Router,ER)实现VPC与VPC、VPC与线下数据中心IDC之间的流量防护。这种双边界架构使得CFW能够同时管控南北向流量(云上资产与互联网之间的通信)和东西向流量(内部业务之间的互访),形成完整的云上安全防御闭环。
在访问控制层面,CFW支持基于五元组(源IP、目的IP、协议号、源端口、目的端口)的精细策略、基于域名的访问控制,以及基于入侵防御系统IPS的智能防护。CFW集成了华为云安全能力积累和全网威胁情报,提供AI入侵防御引擎对恶意流量进行实时检测和拦截。
需要先登录华为云控制台,点击:华为云控制台,还没有账号,点击:注册并关联,已有账号点击:登录后关联
2. 购买云防火墙与计费模式选择
2.1 购买前准备
在使用CFW之前,需要完成以下准备工作:注册华为账号并开通华为云服务,完成实名认证;确保账户有足够的余额或信用额度用于支付CFW费用;通过统一身份认证服务IAM为操作账号赋予CFW相关权限。
CFW系统预置了两类角色权限:CFW FullAccess拥有云防火墙服务的所有操作权限,CFW ReadOnlyAccess仅拥有只读权限。在实际企业环境中,建议按照最小权限原则为不同职能人员分配对应角色,例如安全运维人员赋予FullAccess权限,审计人员赋予ReadOnlyAccess权限。
2.2 购买操作步骤
登录华为云控制台后,在服务列表中选择“安全与合规 > 云防火墙CFW”,进入CFW服务页面。首次使用时,单击“购买云防火墙”进入购买配置页面。
购买时需要配置以下关键参数:选择资源所在的区域,购买的云防火墙仅能在当前区域使用;选择版本规格,CFW提供标准版和专业版两种规格;对于包年/包月计费模式,还需要选择购买时长。确认配置信息后,阅读并勾选服务协议,完成支付即可创建防火墙实例。
2.3 计费模式详解
CFW提供包年/包月和按需计费两种模式。包年/包月是预付费模式,按订单的购买周期计费,适合长期稳定使用的场景,价格相比按需计费更为优惠。按需计费是后付费模式,支持随时开通和删除,按秒计费,系统每小时根据实际防护流量生成账单并从账户扣款。两种模式各有适用场景:对于流量规模稳定、长期运行的生产环境,包年/包月更具成本优势;对于测试环境或流量波动较大的业务,按需计费则更加灵活。
值得注意的是,CFW支持在同一区域下购买多个防火墙实例,便于对不同场景下的资源和策略进行独立管理。
3. 互联网边界防火墙配置
3.1 开启EIP防护
互联网边界防火墙是CFW最基础也是使用最广泛的防护能力。购买防火墙实例后,需要手动对需要防护的弹性公网IP开启防护,才能使流量经过防火墙检测。
操作路径为:登录CFW控制台,在左侧导航栏中选择“互联网边界防火墙”相关页面,查看当前账号下所有EIP列表,对目标EIP开启防护开关。开启后,该EIP的入方向和出方向流量均会经过CFW的安全检测。
3.2 配置访问控制策略
开启防护后,CFW默认放行所有流量。要实现精细化管控,需要配置访问控制策略(ACL)。配置防护规则能有效帮助对云上资产与互联网之间的流量进行管控,防止内部威胁扩散。
以“放行指定EIP的入方向流量”为例,标准的操作流程包含以下步骤:
- 配置一条阻断所有入方向流量的防护规则,并将其优先级置于最低,作为兜底策略
- 配置一条放行指定EIP入方向流量的防护规则,将优先级设置在阻断规则之上
- 通过访问控制日志查看规则命中详情,验证策略是否生效
在配置防护规则时,需要指定以下核心要素:防护方向(外-内或内-外)、动作(放行或阻断)、源地址类型与地址、目的地址类型与地址、协议与端口等。CFW支持灵活的地址表达方式,包括单个IP、IP段、IP地址组以及按地域配置。
3.3 入侵防御IPS配置
入侵防御系统IPS是CFW的核心安全能力之一。IPS支持观察模式和拦截模式两种工作模式。观察模式下,IPS仅对攻击事件进行检测并记录到攻击事件日志中,不做实际拦截,适合刚上线时用于评估规则准确性;拦截模式下,IPS会主动拦截各类威胁和恶意流量。
建议的实践策略是:新部署或调整防护策略时,优先开启观察模式,待业务运行一段时间、排查确认无误拦截后,再逐步切换至拦截模式。这种渐进式部署方式能够最大程度避免因IPS规则误判导致业务中断。
4. VPC边界防火墙与企业路由器对接
4.1 VPC边界防火墙概述
VPC边界防火墙用于防护VPC之间的东西向流量,是实现内部网络微隔离的关键组件。VPC边界防火墙依赖企业路由器ER进行流量引流,因此仅专业版云防火墙支持此功能。
VPC边界防火墙的工作原理是:通过配置企业路由器的路由表和关联策略,强制VPC间的流量经过云防火墙的安全检测与过滤。流量从源VPC经过企业路由器转发到CFW,CFW根据防护策略筛选后,将允许的流量放行回企业路由器,再由企业路由器转发至目标VPC。
4.2 配置企业路由器引流
配置企业路由器将流量引至云防火墙是VPC边界防护的核心前提。整个配置流程本质上是利用路由规则与流量转发策略的协同,强制VPC间的流量经过CFW的安全检测。
操作流程如下:
- 创建VPC边界防火墙:在CFW控制台的“VPC边界防火墙管理”页面创建防火墙实例,选择企业路由器并配置网段。防火墙创建后会自动生成一条防火墙连接,名称为cfw-er-auto-attach
- 添加VPC连接:在企业路由器中添加需要防护的VPC连接。每增加一个防护的VPC,都需要增加一条连接
- 创建两张专用路由表:路由表1(关联路由表)绑定VPC连接,配置路由规则将VPC流量指向CFW(下一跳为cfw-er-auto-attach),确保VPC出向流量进入防护;路由表2(传播路由表)绑定CFW的连接,通过传播功能自动学习VPC的路由信息,确保CFW处理后的回程流量能正确回传
- 配置关联和传播:在关联路由表中设置关联功能,添加VPC连接;在传播路由表中设置关联和传播功能
4.3 开启VPC边界防火墙
配置完成后,防火墙默认为未开启状态,此时流量只经过企业路由器,未转发到防火墙。需要在VPC边界防火墙管理页面手动开启防火墙功能。
开启后,需要验证流量是否真正经过云防火墙。验证方法为:在VPC间生成测试流量,然后查看CFW的流量日志。如果有日志记录,说明云防火墙已成功防护VPC间流量;如果无日志记录,则需要排查企业路由器的路由配置是否正确。
4.4 约束与注意事项
在配置VPC边界防火墙时,有几个重要的约束需要特别关注。不建议在VPC路由表中将企业路由器的路由配置为默认路由网段0.0.0.0/0。如果VPC内的ECS绑定了EIP,会在ECS内增加默认网段的策略路由且优先级高于ER路由,会导致流量转发至EIP而无法抵达ER。同样,当VPC内部署了ELB、NAT网关、VPCEP、DCS等服务时,也不建议将下一跳为ER的路由配置为0.0.0.0/0。
另外,VPC边界防火墙仅专业版支持。如果使用私网公网地址段(即使用10.0.0.0/8、172.16.0.0/12、192.168.0.0/16以及运营商级NAT保留网段以外的公网网段作为私网地址段),需要提交工单进行私网网段扩容,否则云防火墙可能无法正常转发VPC间流量。
5. API对接与开发集成
5.1 API调用概述
CFW提供了完整的RESTful API,支持通过编程方式管理防火墙实例、配置防护策略、查询日志等。API调用需要先完成认证鉴权,CFW使用华为云统一的IAM认证体系。
API调用中需要关注的核心参数是fw_instance_id(防火墙实例ID),这是创建云防火墙后系统自动生成的标志ID。调用API时,fw_instance_id为空时返回账号下第一个防火墙的信息;非空时返回对应防火墙实例的信息。
5.2 Java SDK代码示例
华为云为CFW提供了多种编程语言的SDK,以下以Java SDK为例展示如何调用CFW API。
import com.huaweicloud.sdk.core.auth.BasicCredentials;
import com.huaweicloud.sdk.core.auth.ICredential;
import com.huaweicloud.sdk.core.exception.ConnectionException;
import com.huaweicloud.sdk.core.exception.RequestTimeoutException;
import com.huaweicloud.sdk.core.exception.ServiceResponseException;
import com.huaweicloud.sdk.cfw.v1.CfwClient;
import com.huaweicloud.sdk.cfw.v1.model.*;
public class CfwApiDemo {
public static void main(String[] args) {
// 配置认证信息
String ak = "您的访问密钥AK";
String sk = "您的秘密访问密钥SK";
ICredential credential = new BasicCredentials()
.withAk(ak)
.withSk(sk);
// 创建CFW客户端
CfwClient client = CfwClient.newBuilder()
.withCredential(credential)
.withRegion("cn-south-1") // 替换为实际区域
.build();
try {
// 示例:查询防火墙实例列表
ListFirewallInstancesRequest request = new ListFirewallInstancesRequest();
ListFirewallInstancesResponse response = client.listFirewallInstances(request);
System.out.println("防火墙实例列表: " + response.toString());
// 示例:添加防护规则(需根据实际参数构造)
// AddRuleRequest ruleRequest = new AddRuleRequest();
// AddRuleResponse ruleResponse = client.addRule(ruleRequest);
} catch (ConnectionException e) {
e.printStackTrace();
} catch (RequestTimeoutException e) {
e.printStackTrace();
} catch (ServiceResponseException e) {
e.printStackTrace();
System.out.println("HTTP状态码: " + e.getHttpStatusCode());
System.out.println("错误码: " + e.getErrorCode());
System.out.println("错误信息: " + e.getErrorMsg());
}
}
}上述代码展示了CFW Java SDK的基本使用模式:首先配置AK/SK认证信息,然后创建CFW客户端,最后调用具体API方法。实际开发中,可以根据业务需求调用防火墙管理、访问控制策略管理、日志查询等不同类别的API接口。
5.3 API Explorer辅助开发
华为云提供了API Explorer工具,支持在线调试CFW的各组API接口。在API Explorer中可以选择具体接口、填写参数、在线发送请求并查看返回结果。API Explorer还支持自动生成多种编程语言的SDK代码示例,极大降低了API集成的开发门槛。
6. 日志分析与可视化
6.1 日志类型
CFW支持查询7天内的日志记录,提供三类核心日志:攻击事件日志记录IPS等攻击防御功能检测到的事件;访问控制日志记录命中访问控制策略的所有流量;流量日志记录经过防火墙的全部流量明细。
这三类日志从不同维度呈现了云上流量的安全态势:攻击事件日志帮助安全团队快速发现和定位威胁;访问控制日志用于审计策略命中情况和合规性验证;流量日志则提供了全流量的可视化管理能力。
6.2 日志可视化配置
CFW与华为云日志服务LTS深度集成,支持通过仪表盘将日志数据进行可视化呈现。CFW提供了预置的仪表盘模板,包括访问日志中心、流量日志中心和攻击日志中心三大板块。
配置路径为:登录云日志服务控制台,在日志应用模块中单击“CFW日志中心”,选择进入仪表盘即可查看各类统计图表。通过可视化仪表盘,可以直观地了解流量趋势、攻击分布、策略命中率等关键安全指标,大幅提升安全运营效率。
7. 与其他华为云服务的协同配置
7.1 与WAF、DDoS高防、CDN的协同
在实际业务场景中,CFW经常需要与Web应用防火墙WAF、DDoS高防、内容分发网络CDN等安全服务共同部署。这些服务会对用户流量进行反向代理,部署后CFW接收到的源IP会变为上述服务的回源IP。
针对这种情况,需要在CFW上配置放行回源IP的策略,避免误拦截。具体有两种配置方式:创建放行的防护规则,添加一条优先级置顶的放行策略放行所有回源IP,配置后CFW仍会对流量进行检测;或者将回源IP加入白名单,白名单内的流量将被直接放通,CFW不再进行任何检测。需要特别注意的是,回源IP不应被加入黑名单或阻断策略中,否则会导致业务中断。
对于ELB模式WAF,流量先经过CFW再经过WAF,按正常业务需求配置即可。
7.2 与VPN的协同防护
在企业使用VPN连接远端用户与VPC的场景中,CFW结合企业路由器ER可以对VPN流量进行深度防护。具体能力包括:通过精细访问控制策略防止VPN滥用、拦截通过VPN传播的攻击流量、对VPN流量进行详细日志记录满足合规审计要求。
需要特别注意的是,如果在云防火墙上直接对VPN网关的EIP开启防护,CFW无法解析被隧道封装的内部流量。正确的做法是使用ER+CFW的VPC边界防火墙架构,将VPN网关关联到企业路由器,再将CFW关联到企业路由器,通过VPC边界防火墙对VPN流量进行访问控制。
8. 高级运维与管理技巧
8.1 安全策略批量迁移
当业务从其他云迁移到华为云,或从其他防火墙产品更换到CFW时,CFW支持通过批量导入功能快速添加安全策略。操作步骤为:从原防火墙通过API或策略备份功能导出策略配置文件;登录CFW控制台,在防护规则页面单击“策略导入导出”;下载导入模板,按照模板格式填写策略参数;上传填写完成的模板文件完成批量导入。
导入模板支持配置多种参数,包括规则顺序、规则名称、防护类型(EIP防护或NAT防护)、方向、动作、地址类型、源/目的地址等。这种批量迁移能力大幅降低了安全策略迁移的人工成本和出错风险。
8.2 多防火墙实例管理
CFW支持在同一区域下购买多个防火墙实例,便于管理不同场景下的资源和策略。在CFW控制台的页面左上角可以切换当前操作的防火墙实例。这种多实例架构适合大型企业按业务线、环境(开发/测试/生产)或安全等级进行隔离管理。
8.3 跨账号VPC防护
VPC边界防火墙支持跨账号防护功能。例如,A账号下有VPC_A,B账号下有VPC_B,只需在A账号中配置企业路由器和云防火墙,将A账号的企业路由器共享至B账号,并添加VPC_B的连接,即可实现对A、B两个账号下VPC资源的统一防护。这种跨账号能力对于大型集团或多云管理场景具有重要意义。
9. 最佳实践总结
基于以上各章节的详细讲解,以下总结CFW对接使用的核心最佳实践:
- 渐进式开启IPS:新部署时先使用观察模式,确认无误拦截后再切换至拦截模式
- 优先级策略设计:配置防护规则时,精细化放行规则应置于高位,粗粒度阻断规则置于低位
- 避免路由冲突:VPC边界防火墙场景下,避免在VPC路由表中将ER路由配置为0.0.0.0/0
- 回源IP放行:与WAF、DDoS高防、CDN等反向代理服务协同使用时,务必配置放行回源IP
- VPN流量使用ER模式:VPN流量防护应使用ER+CFW的VPC边界防火墙架构,而非直接对VPN网关EIP开启防护
- 最小权限原则:通过IAM为不同角色分配最小必要权限
华为云云防火墙CFW作为云原生的安全服务,通过互联网边界和VPC边界的双重防护能力,为企业云上业务提供了坚实的网络安全基础。从购买配置到API集成,从日志分析到多服务协同,CFW构建了一套完整的安全运营闭环。希望本文能够帮助读者全面掌握CFW的对接使用方法,在实际业务中充分发挥云防火墙的安全防护价值。
常见问题解答
问1:CFW的标准版和专业版有什么区别?
答:标准版支持互联网边界防火墙的访问控制、入侵防御、日志审计等核心功能;专业版在标准版基础上额外支持VPC边界防火墙(需企业路由器ER引流),适用于需要防护VPC间东西向流量的场景。
问2:VPC边界防火墙配置完成后,如何确认流量确实经过了CFW?
答:在VPC间生成测试流量后,查看CFW的流量日志。如果有对应的日志记录,说明流量已成功经过防火墙;如果无日志,需要排查企业路由器的路由配置是否正确。
问3:CFW与WAF、DDoS高防一起使用时,为什么需要配置放行回源IP?
答:WAF、DDoS高防、CDN等服务会对流量进行反向代理,导致CFW接收到的源IP变为这些服务的回源IP而非真实客户端IP。如果不放行回源IP,CFW可能将这些流量误判为异常而阻断,影响业务。
问4:为什么VPN流量不能直接在VPN网关的EIP上开启CFW防护?
答:VPN流量经过隧道封装,如果在VPN网关的EIP上直接开启CFW防护,CFW无法解析被封装的内层流量。正确的做法是使用ER+CFW的VPC边界防火墙架构。
问5:CFW支持跨账号的VPC防护吗?
答:支持。VPC边界防火墙支持跨账号防护功能,只需在一个账号中配置企业路由器和云防火墙,将企业路由器共享至其他账号并添加对应VPC的连接即可。
问6:IPS的观察模式和拦截模式分别适用于什么场景?
答:观察模式仅检测和记录攻击事件但不做拦截,适合刚部署时用于评估规则准确性、排查误报;拦截模式主动拦截威胁流量,适合规则验证稳定后的正式运行环境。建议先观察后拦截,逐步切换。
