华为云云防火墙网站服务器安全策略配置完全指南
1. 云防火墙概述与网站服务器防护场景
华为云云防火墙(Cloud Firewall,简称CFW)是新一代云原生防火墙,提供云上互联网边界和虚拟私有云(VPC)边界的全方位防护能力。对于部署在华为云弹性云服务器(ECS)上的网站业务,CFW能够对互联网访问云上资产(入云方向)以及云上资产访问互联网(出云方向)的流量进行精细化的放行或阻断控制。
开启云防火墙防护时,系统默认放行所有流量。这意味着,如果不对云防火墙配置任何安全策略,网站服务器将完全暴露于互联网之中,内部服务器与外网之间的通信将完全开放,无法有效管控未授权访问或内部威胁扩散。因此,为网站服务器配置合理的安全策略是使用云防火墙的核心任务。
本文将从服务开通、资产接入、访问控制策略配置、入侵防御系统配置、多服务协同防护、API批量管理以及日志审计与持续优化等多个维度,系统性地讲解如何为网站服务器配置华为云云防火墙的安全策略。
需要先登录华为云控制台,点击:华为云控制台,还没有账号,点击:注册并关联,已有账号点击:登录后关联
2. 开通云防火墙服务与网站资产接入
2.1 购买云防火墙实例
在为网站服务器配置安全策略之前,首先需要购买并开通云防火墙服务。操作步骤如下:
- 登录华为云管理控制台,在左侧导航树中,选择“安全与合规 > 云防火墙”。
- 单击“购买云防火墙”,进入购买页面。
- 根据业务需求选择合适的防火墙版本。标准版支持互联网边界防护,专业版额外支持VPC边界防护和NAT网关边界防护。
- 配置防火墙实例参数后完成购买。
2.2 将网站服务器EIP接入防护
购买云防火墙后,需要将网站服务器绑定的弹性公网IP(EIP)接入云防火墙防护。只有在CFW上对需要防护的EIP开启防护后,流量才会经过防火墙。具体操作如下:
- 登录云防火墙控制台,在“资产管理”或“EIP管理”页面查看当前账号下所有已绑定的EIP。
- 选择需要防护的网站服务器EIP,单击“开启防护”。
- 确认开启后,该EIP的南北向流量将经过云防火墙,访问控制策略和入侵防御策略将生效。
需要注意的是,VPC边界防护和NAT流量防护需要专业版防火墙的支持。如果网站服务器部署在VPC内部且仅通过NAT网关访问互联网,则需要使用专业版并开启VPC边界防火墙防护。
3. 访问控制策略体系详解
访问控制策略是云防火墙安全配置的核心。云防火墙提供四种类型的访问控制策略:防护规则、黑名单、白名单和流量过滤。不同策略的防护对象、防护动作和应用场景各有不同,理解它们的差异是正确配置安全策略的基础。
3.1 访问控制策略类型对比
下表对比了四种访问控制策略的核心差异:
- 防护规则:支持五元组、IP地址组、地理位置(地域)、域名和域名组、应用等多种防护对象。动作可设置为“阻断”或“放行”。设置为“放行”的流量在放行后还会经过入侵防御(IPS)功能检测。适用于需要精细化控制特定流量的场景。
- 黑名单:支持五元组和IP地址组。直接拦截匹配的流量。适用于快速拦截已识别的安全威胁,如已知恶意IP地址。云防火墙最多支持配置2000条黑名单。
- 白名单:支持五元组和IP地址组。流量被云防火墙直接放行,不再经过其它功能检测。适用于明确可信IP地址的情况。云防火墙最多支持配置2000条白名单。
- 流量过滤:通过配置的特征快速封堵异常流量,适用于需要快速封堵大量IP地址的情况。该功能是新上线功能,部分控制台可能无法直接进入,需要提交工单升级防火墙引擎。
3.2 访问控制策略的防护顺序
云防火墙匹配访问控制策略的防护优先级由高到低为:流量封堵 -> 白名单 -> 黑名单 -> 防护策略(ACL)。理解这个顺序对于策略配置至关重要:
- 流量封堵:最高优先级,用于紧急封堵异常流量。
- 白名单:白名单中的流量将被直接放行,不再经过后续任何检测。
- 黑名单:黑名单中的流量将被直接拦截。
- 防护策略(ACL):最后匹配,支持放行和阻断两种动作。
在防护规则内部,优先级通过数字表示,数字越小优先级越高,1为最高优先级。流量命中某条规则后将立即执行其动作并停止后续匹配。
3.3 防护规则的配置要素
防护规则支持识别并匹配多种流量元素,实现对相关流量的放行或阻断。核心配置要素包括:
- 方向:外-内(入云方向,互联网访问云上资产)和内-外(出云方向,云上资产访问互联网)。
- 源:网络连接发起方。支持IP地址、IP地址组、地域、ANY。
- 目的:网络连接接收方。支持IP地址、IP地址组、ANY。
- 服务:网络连接的协议、源端口、目的端口。支持TCP、UDP、ICMP、ANY等协议。
- 应用:针对应用层协议的防护策略。
- 动作:放行或阻断。
代码示例:防护规则配置参数
# 防护规则配置参数示例(JSON格式)
{
\"direction\": \"外-内\", # 入云方向
\"source\": {
\"type\": \"IP\", # 源类型:IP/IP地址组/地域/ANY
\"value\": \"192.168.10.5\" # 具体值
},
\"destination\": {
\"type\": \"ANY\" # 目的类型
},
\"service\": {
\"protocol\": \"TCP\", # 协议类型
\"port\": \"80-443\" # 端口范围
},
\"action\": \"放行\", # 动作:放行/阻断
\"priority\": 1 # 优先级,1为最高
}4. 网站服务器安全策略配置实战
4.1 配置原则
在为网站服务器配置安全策略时,应遵循以下核心原则:
- 放行规则优先于阻断规则:将放行规则置于阻断规则之前,确保正常业务优先通过。
- 具体规则优先于宽泛规则:将更具体的规则置于更宽泛的规则之前,让更精确的安全策略优先生效。
- 优先配置精准IP:建议优先配置精准的IP(如192.168.10.5),减少网段配置,避免误拦截。
- 谨慎配置阻断策略:对于反向代理IP(如CDN、DDoS高防、WAF的回源IP),请谨慎配置阻断策略。
4.2 场景一:只允许特定IP访问网站服务器管理端口
对于网站服务器的管理端口(如SSH的22端口、RDP的3389端口),建议只允许特定管理IP地址访问,阻断其他所有来源。
配置步骤:
- 登录云防火墙控制台,进入“访问控制” > “互联网边界防护规则”页面。
- 单击“添加”,配置第一条规则(放行管理IP):
- 方向:外-内
- 源:IP地址,填写管理IP(如203.0.113.10)
- 目的:网站服务器的EIP
- 服务:TCP,端口22(或3389)
- 动作:放行
- 优先级:置顶(最高优先级)
- 配置第二条规则(阻断所有其他访问):
- 方向:外-内
- 源:ANY
- 目的:网站服务器的EIP
- 服务:TCP,端口22(或3389)
- 动作:阻断
- 优先级:置于最低
4.3 场景二:只允许特定地区访问网站服务
如果网站业务只服务于特定地区(如中国大陆),可以配置地域级别的访问控制,阻断来自其他地区的访问请求。
配置步骤:
- 登录云防火墙控制台,进入“访问控制” > “互联网边界防护规则”页面。
- 单击“添加”,配置阻断规则:
- 方向:外-内
- 源:地域,选择需要阻断的地区(如“北京”以外的所有地区)
- 目的:网站服务器的EIP
- 服务:ANY(或指定HTTP/HTTPS端口)
- 动作:阻断
- 说明:配置“地域”防护时,需考虑公网IP可能更换地址的情况
4.4 场景三:网站服务器的通用安全策略模板
以下是一个网站服务器的通用安全策略配置模板,包含入云方向和出云方向的完整配置:
入云方向(外-内)策略:
- 放行HTTP/HTTPS流量:放行所有来源对网站服务器80和443端口的访问。
- 放行管理IP:放行指定管理IP对SSH/RDP端口的访问。
- 阻断恶意IP:将已知恶意IP加入黑名单直接拦截。
- 阻断所有其他入站流量:作为兜底规则,阻断所有未匹配的入站流量。
出云方向(内-外)策略:
- 放行必要出站流量:放行网站服务器访问数据库、API服务、NTP、DNS等必要服务的流量。
- 阻断所有其他出站流量:作为兜底规则,防止服务器被入侵后向外发起恶意连接。
配置阻断策略时的注意事项:对于正向代理IP(如公司出口IP),影响范围较大,请谨慎配置阻断策略。
5. 黑白名单配置与使用
5.1 黑名单配置
黑名单适用于快速拦截已识别的恶意IP地址。配置黑名单后,来自该IP或IP地址段的访问将被直接拦截,不再经过任何检测。
配置步骤:
- 登录云防火墙控制台,进入“访问控制” > “互联网边界防护规则”页面。
- 选择“黑名单”页签。
- 单击“添加”,配置黑名单规则:
- 地址方向:选择“源地址”或“目的地址”
- IP地址:填写需要拦截的恶意IP或IP段
- 协议类型:TCP、UDP、ICMP或ANY
- 端口:设置需要拦截的端口,如“1-65535”表示全部端口
黑名单配置注意事项:
- 云防火墙最多支持配置2000条黑名单。
- 当需要配置的黑名单IP超出限制时,可通过添加IP地址组并在防护规则中引用的方式实现。
- 配置黑名单时,如果涉及地址转换或存在代理的场景,需要谨慎评估拦截IP的影响。
- 如果IP为WAF的回源IP,建议使用白名单或配置放行的防护规则,请谨慎配置黑名单规则。
5.2 白名单配置
白名单适用于放行明确可信的IP地址。配置白名单后,来自该IP或IP地址段的访问将被直接放行,不再经过任何检测。
配置步骤:
- 登录云防火墙控制台,进入“访问控制” > “互联网边界防护规则”页面。
- 选择“白名单”页签。
- 单击“添加”,配置白名单规则:
- 地址方向:选择“源地址”或“目的地址”
- IP地址:填写需要放行的可信IP或IP段
- 协议类型:TCP、UDP、ICMP或ANY
- 端口:设置需要放行的端口
白名单配置注意事项:
- 云防火墙最多支持配置2000条白名单。
- 当需要配置的白名单IP超出限制时,可通过添加IP地址组并在防护规则中引用的方式实现。
- 回源IP加入“白名单”后,这些流量将被直接放通,CFW不再进行任何防护。
6. 入侵防御系统(IPS)配置
6.1 IPS概述
入侵防御(IPS)功能结合华为多年攻防积累的经验规则,实时检测和防护访问流量,拦截多种常见的网络攻击,有效保护您的资产。IPS提供多类规则库:
- 基础防御:内置的规则库,覆盖常见网络攻击,为资产提供基础的防护能力。
- 虚拟补丁:在网络层级为IPS提供热补丁,实时拦截高危漏洞的远程攻击行为,同时避免修复漏洞时造成业务中断。更新的规则优先进入虚拟补丁库中。
- 自定义IPS特征(仅专业版支持):内置规则库无法满足需求时,支持自定义特征规则。支持添加HTTP、TCP、UDP、POP3、SMTP、FTP协议类型的特征规则。
6.2 IPS防护模式
IPS提供四种防护模式:
- 观察模式:仅对攻击事件进行检测并记录到“攻击事件日志”中,不做拦截。
- 拦截模式-宽松:防护粒度较粗,拦截可信度高且威胁程度高的攻击事件。
- 拦截模式-中等:防护粒度中等,满足大多数场景下的防护需求。
- 拦截模式-严格:防护粒度精细,全量拦截攻击请求。
6.3 IPS配置最佳实践
开启拦截模式后,入侵防御IPS功能会拦截各类威胁和恶意流量。建议遵循以下部署策略:
- 优先开启观察模式:在业务上线初期,优先开启“观察模式”,等待业务运行一段时间。
- 排查误拦截:通过查看攻击事件日志,分析是否存在误拦截情况。
- 逐步切换至拦截模式:确认无误拦截后,再逐步更换至“拦截模式”。
- 根据业务选择拦截粒度:大多数场景下选择“拦截模式-中等”即可满足防护需求。
IPS配置步骤:
- 登录CFW控制台。
- 在左侧导航栏中,选择“入侵防御”界面。
- 保持“基础防御”右侧开关开启。
- 在“防护模式”栏中,选择合适的防护模式。
- 如需开启虚拟补丁,打开虚拟补丁开关。
IPS配置限制:
- 入侵防御不支持对TLS、SSL加密的流量进行解密检测和防御。
- 如果已添加IPS自定义规则,则不支持关闭IPS基础防御功能。
- 如果已开启虚拟补丁、敏感目录扫描防御或反弹Shell检测防御功能,则在关闭IPS基础防御功能时也会被同步关闭。
7. CFW与WAF、DDoS高防、CDN的协同配置
7.1 多服务协同场景概述
在实际生产环境中,网站服务器通常会同时使用多种华为云安全服务。Web应用防火墙(WAF)、DDoS高防(Advanced Anti-DDoS)、内容分发网络(CDN)会对用户的流量进行反向代理。部署后,CFW接收到的源IP为上述服务的回源IP。
当配置了华为云的其他产品后,业务流量会经过多道防护。在对入云流量进行防护时,如果CFW前存在反向代理服务(即购买了CDN、DDoS高防或云模式WAF),需配置放行回源IP策略,避免误拦截。
7.2 回源IP放行配置
对于DDoS高防/CDN和云模式WAF,建议采用以下两种方式之一配置回源IP放行:
方式一:创建放行的防护规则
添加一条“优先级”“置顶”的“放行”策略,放行所有回源IP。配置后CFW仍会对流量进行检测,进一步保证流量安全。
方式二:添加回源IP至白名单
回源IP加入“白名单”后,这些流量将被直接放通,CFW不再进行任何防护。
重要提醒:
- 请避免将回源IP加入黑名单或阻断的防护策略中,否则将会阻断来自这个IP的所有流量,影响业务。
- 流量经过反向代理后,源IP被转换为回源IP,此时如果受到外部攻击,CFW无法获取到攻击者的真实IP地址,可通过X-Forwarded-For字段获取真实IP地址。
7.3 ELB模式WAF的配置
对于ELB模式WAF,流量先经过CFW再经过WAF,正常配置即可。无需特殊处理回源IP。
8. 通过API和SDK批量管理安全策略
8.1 API调用概述
华为云云防火墙提供RESTful API,允许用户通过HTTPS请求调用,进行防火墙实例的查询、更新等操作。通过API可以实现安全策略的批量导入、导出和自动化管理。
8.2 获取认证凭证
调用API前需要获取以下信息:
- 项目ID(project_id):用于明确项目归属,可从API调用处获取,也可从控制台获取。
- 防火墙实例ID(fw_instance_id):创建云防火墙后用于标志防火墙由系统自动生成的标志ID。默认情况下,fw_instance_id为空时返回账号下第一个墙的信息。
- 防护对象ID:创建云防火墙后用于区分互联网边界防护和VPC边界防护的标志ID。type为0的为互联网边界防护对象ID,type为1的为VPC边界防护对象ID。
8.3 Python SDK配置示例
以下是通过Python SDK调用云防火墙API的完整示例:
# 华为云CFW Python SDK使用示例
import requests
import json
from huaweicloudsdkcore.auth.credentials import BasicCredentials
from huaweicloudsdkcfw.v1 import CfwClient, AddAclRuleRequest, AddAclRuleRequestBody
from huaweicloudsdkcfw.v1.model import RuleAddressDto, RuleServiceDto
# 配置认证信息
ak = \"your_access_key\"
sk = \"your_secret_key\"
project_id = \"your_project_id\"
# 创建认证凭证
credentials = BasicCredentials(ak, sk, project_id)
# 创建CFW客户端
client = CfwClient.new_builder() \\
.with_credentials(credentials) \\
.with_region(\"cn-north-4\") \\
.build()
# 构建添加防护规则的请求
add_request = AddAclRuleRequest()
add_request.body = AddAclRuleRequestBody(
object_id=\"your_protection_object_id\", # 防护对象ID
type=0, # 0表示互联网边界防护
rules=[
{
\"name\": \"放行管理IP访问SSH\",
\"direction\": 0, # 0表示外-内方向
\"source\": RuleAddressDto(
type=0, # 0表示IP地址类型
address=\"203.0.113.10\", # 管理IP
address_type=0 # 0表示IPv4
),
\"destination\": RuleAddressDto(
type=0,
address=\"网站服务器EIP\",
address_type=0
),
\"service\": RuleServiceDto(
protocol=6, # 6表示TCP协议
source_port=None,
dest_port=\"22\"
),
\"action\": 1, # 1表示放行
\"sequence\": 1 # 优先级,1为最高
}
]
)
# 执行添加规则请求
response = client.add_acl_rule(add_request)
print(json.dumps(response.to_dict(), indent=2))8.4 批量导入导出安全策略
云防火墙控制台支持通过模板批量导入和导出防护策略。操作步骤如下:
- 登录云防火墙控制台。
- 在左侧导航栏中进入对应防护规则管理页面。
- 单击页面右上方“策略导入导出”。
- 单击“下载模板”,下载导入规则模板到本地。
- 按表格要求填写待添加的防护策略信息。
- 单击“导入规则”,导入防护规则表。
导入限制:
- 最大支持每个页签中单次导入640条规则/成员。
- 请按照模板要求填写相应参数,确保导入文件的格式与模板一致。
- 导入后的策略优先级低于已创建的策略。
如果业务需要导入/导出VPC边界防护策略,请确认防火墙版本是“专业版”。
9. 日志审计与安全策略持续优化
9.1 访问控制日志
云防火墙提供详细的访问控制日志,记录每条策略的命中情况。通过分析访问控制日志,可以:
- 验证安全策略是否按预期生效
- 发现未授权的访问尝试
- 识别需要调整的策略规则
9.2 攻击事件日志
攻击事件日志记录IPS检测到的所有攻击事件。通过分析攻击事件日志,可以:
- 了解当前面临的威胁态势
- 发现误拦截情况并及时调整
- 评估IPS防护效果
9.3 流量日志
流量日志记录经过云防火墙的所有流量信息。通过分析流量日志,可以:
- 了解业务流量趋势
- 发现异常的流量模式
- 为策略优化提供数据支撑
9.4 持续优化建议
- 定期审查策略:定期审查现有的安全策略,删除无效或冗余的规则。
- 基于日志调整:根据访问控制日志和攻击事件日志的分析结果,及时调整策略配置。
- 监控误拦截:特别关注IPS的误拦截情况,及时将误拦截的规则动作从“拦截”修改为“观察”。
- 保持规则更新:关注华为云发布的安全公告和规则更新,及时更新IPS规则库。
10. 常见问题与最佳实践总结
10.1 配置检查清单
完成网站服务器安全策略配置后,建议对照以下清单进行检查:
- 网站服务器的EIP是否已开启云防火墙防护
- 是否配置了放行HTTP/HTTPS流量的防护规则
- 是否配置了管理IP的白名单或放行规则
- 是否配置了兜底的阻断规则
- IPS是否已开启并选择了合适的防护模式
- 如果使用了WAF/CDN/DDoS高防,是否已配置回源IP放行
- 是否配置了必要的出云方向策略
10.2 最佳实践总结
- 最小权限原则:只放行业务必需的流量,阻断所有其他流量。
- 分层防护:结合访问控制规则和IPS实现多层防护。
- 先观察后拦截:IPS配置时先开启观察模式,确认无误后再切换至拦截模式。
- 放行优先于阻断:在防护规则中,将放行规则置于阻断规则之前。
- 具体优先于宽泛:将更具体的规则置于更宽泛的规则之前。
- 定期审计与优化:定期审查日志和策略,持续优化安全配置。
问答1:云防火墙默认是放行所有流量还是阻断所有流量?
开启云防火墙防护时,系统默认放行所有流量。如果未配置任何访问控制策略,内部服务器与外网之间的通信将完全开放。因此,必须主动配置防护规则来实现流量的精细化管控。
问答2:防护规则、黑名单和白名单的防护顺序是什么?
云防火墙匹配访问控制策略的防护优先级由高到低为:流量封堵 -> 白名单 -> 黑名单 -> 防护策略(ACL)。白名单中的流量被直接放行且不再经过任何检测,黑名单中的流量被直接拦截,防护规则最后匹配。
问答3:配置阻断策略时有哪些注意事项?
配置阻断策略时需注意:建议优先配置精准IP减少误拦截;对于反向代理IP(如WAF回源IP、CDN回源IP)谨慎配置阻断策略,建议配置放行规则或白名单;对于正向代理IP(如公司出口IP)影响范围较大,谨慎配置阻断策略;配置地域防护时需考虑公网IP可能更换地址的情况。
问答4:IPS应该选择什么防护模式?
建议优先开启“观察模式”,仅对攻击事件进行检测和记录但不做拦截。等待业务运行一段时间,通过攻击事件日志排查是否存在误拦截后,再逐步更换至“拦截模式”。大多数场景下选择“拦截模式-中等”即可满足防护需求。
问答5:CFW与WAF同时使用时需要注意什么?
当CFW前存在云模式WAF时,CFW接收到的源IP为WAF的回源IP。需要配置放行回源IP的策略,避免误拦截。建议创建放行的防护规则(优先级置顶)或将回源IP加入白名单。请避免将回源IP加入黑名单或阻断策略中。
问答6:云防火墙最多支持配置多少条防护策略?
一个防火墙实例最多添加20,000条防护策略(防护规则和黑、白名单的总和)。其中黑名单最多2000条,白名单最多2000条。当需要配置的IP超出限制时,可通过添加IP地址组并在防护规则中引用的方式实现。




