华为云云防火墙网站服务器安全策略配置完全指南

apphuang2026年07月01日 10:21:485

1. 云防火墙概述与网站服务器防护场景

华为云云防火墙(Cloud Firewall,简称CFW)是新一代云原生防火墙,提供云上互联网边界和虚拟私有云(VPC)边界的全方位防护能力。对于部署在华为云弹性云服务器(ECS)上的网站业务,CFW能够对互联网访问云上资产(入云方向)以及云上资产访问互联网(出云方向)的流量进行精细化的放行或阻断控制。

开启云防火墙防护时,系统默认放行所有流量。这意味着,如果不对云防火墙配置任何安全策略,网站服务器将完全暴露于互联网之中,内部服务器与外网之间的通信将完全开放,无法有效管控未授权访问或内部威胁扩散。因此,为网站服务器配置合理的安全策略是使用云防火墙的核心任务。

本文将从服务开通、资产接入、访问控制策略配置、入侵防御系统配置、多服务协同防护、API批量管理以及日志审计与持续优化等多个维度,系统性地讲解如何为网站服务器配置华为云云防火墙的安全策略。

需要先登录华为云控制台,点击:华为云控制台,还没有账号,点击:注册并关联,已有账号点击:登录后关联

2. 开通云防火墙服务与网站资产接入

2.1 购买云防火墙实例

在为网站服务器配置安全策略之前,首先需要购买并开通云防火墙服务。操作步骤如下:

  1. 登录华为云管理控制台,在左侧导航树中,选择“安全与合规 > 云防火墙”。
  2. 单击“购买云防火墙”,进入购买页面。
  3. 根据业务需求选择合适的防火墙版本。标准版支持互联网边界防护,专业版额外支持VPC边界防护和NAT网关边界防护。
  4. 配置防火墙实例参数后完成购买。

2.2 将网站服务器EIP接入防护

购买云防火墙后,需要将网站服务器绑定的弹性公网IP(EIP)接入云防火墙防护。只有在CFW上对需要防护的EIP开启防护后,流量才会经过防火墙。具体操作如下:

  1. 登录云防火墙控制台,在“资产管理”或“EIP管理”页面查看当前账号下所有已绑定的EIP。
  2. 选择需要防护的网站服务器EIP,单击“开启防护”。
  3. 确认开启后,该EIP的南北向流量将经过云防火墙,访问控制策略和入侵防御策略将生效。

需要注意的是,VPC边界防护和NAT流量防护需要专业版防火墙的支持。如果网站服务器部署在VPC内部且仅通过NAT网关访问互联网,则需要使用专业版并开启VPC边界防火墙防护。

3. 访问控制策略体系详解

访问控制策略是云防火墙安全配置的核心。云防火墙提供四种类型的访问控制策略:防护规则、黑名单、白名单和流量过滤。不同策略的防护对象、防护动作和应用场景各有不同,理解它们的差异是正确配置安全策略的基础。

3.1 访问控制策略类型对比

下表对比了四种访问控制策略的核心差异:

  • 防护规则:支持五元组、IP地址组、地理位置(地域)、域名和域名组、应用等多种防护对象。动作可设置为“阻断”或“放行”。设置为“放行”的流量在放行后还会经过入侵防御(IPS)功能检测。适用于需要精细化控制特定流量的场景。
  • 黑名单:支持五元组和IP地址组。直接拦截匹配的流量。适用于快速拦截已识别的安全威胁,如已知恶意IP地址。云防火墙最多支持配置2000条黑名单。
  • 白名单:支持五元组和IP地址组。流量被云防火墙直接放行,不再经过其它功能检测。适用于明确可信IP地址的情况。云防火墙最多支持配置2000条白名单。
  • 流量过滤:通过配置的特征快速封堵异常流量,适用于需要快速封堵大量IP地址的情况。该功能是新上线功能,部分控制台可能无法直接进入,需要提交工单升级防火墙引擎。

3.2 访问控制策略的防护顺序

云防火墙匹配访问控制策略的防护优先级由高到低为:流量封堵 -> 白名单 -> 黑名单 -> 防护策略(ACL)。理解这个顺序对于策略配置至关重要:

  1. 流量封堵:最高优先级,用于紧急封堵异常流量。
  2. 白名单:白名单中的流量将被直接放行,不再经过后续任何检测。
  3. 黑名单:黑名单中的流量将被直接拦截。
  4. 防护策略(ACL):最后匹配,支持放行和阻断两种动作。

在防护规则内部,优先级通过数字表示,数字越小优先级越高,1为最高优先级。流量命中某条规则后将立即执行其动作并停止后续匹配。

3.3 防护规则的配置要素

防护规则支持识别并匹配多种流量元素,实现对相关流量的放行或阻断。核心配置要素包括:

  • 方向:外-内(入云方向,互联网访问云上资产)和内-外(出云方向,云上资产访问互联网)。
  • :网络连接发起方。支持IP地址、IP地址组、地域、ANY。
  • 目的:网络连接接收方。支持IP地址、IP地址组、ANY。
  • 服务:网络连接的协议、源端口、目的端口。支持TCP、UDP、ICMP、ANY等协议。
  • 应用:针对应用层协议的防护策略。
  • 动作:放行或阻断。

代码示例:防护规则配置参数

# 防护规则配置参数示例(JSON格式)
{
    \"direction\": \"外-内\",          # 入云方向
    \"source\": {
        \"type\": \"IP\",            # 源类型:IP/IP地址组/地域/ANY
        \"value\": \"192.168.10.5\"   # 具体值
    },
    \"destination\": {
        \"type\": \"ANY\"             # 目的类型
    },
    \"service\": {
        \"protocol\": \"TCP\",        # 协议类型
        \"port\": \"80-443\"          # 端口范围
    },
    \"action\": \"放行\",             # 动作:放行/阻断
    \"priority\": 1                  # 优先级,1为最高
}

4. 网站服务器安全策略配置实战

4.1 配置原则

在为网站服务器配置安全策略时,应遵循以下核心原则:

  1. 放行规则优先于阻断规则:将放行规则置于阻断规则之前,确保正常业务优先通过。
  2. 具体规则优先于宽泛规则:将更具体的规则置于更宽泛的规则之前,让更精确的安全策略优先生效。
  3. 优先配置精准IP:建议优先配置精准的IP(如192.168.10.5),减少网段配置,避免误拦截。
  4. 谨慎配置阻断策略:对于反向代理IP(如CDN、DDoS高防、WAF的回源IP),请谨慎配置阻断策略。

4.2 场景一:只允许特定IP访问网站服务器管理端口

对于网站服务器的管理端口(如SSH的22端口、RDP的3389端口),建议只允许特定管理IP地址访问,阻断其他所有来源。

配置步骤:

  1. 登录云防火墙控制台,进入“访问控制” > “互联网边界防护规则”页面。
  2. 单击“添加”,配置第一条规则(放行管理IP):
    • 方向:外-内
    • 源:IP地址,填写管理IP(如203.0.113.10)
    • 目的:网站服务器的EIP
    • 服务:TCP,端口22(或3389)
    • 动作:放行
    • 优先级:置顶(最高优先级)
  3. 配置第二条规则(阻断所有其他访问):
    • 方向:外-内
    • 源:ANY
    • 目的:网站服务器的EIP
    • 服务:TCP,端口22(或3389)
    • 动作:阻断
    • 优先级:置于最低

4.3 场景二:只允许特定地区访问网站服务

如果网站业务只服务于特定地区(如中国大陆),可以配置地域级别的访问控制,阻断来自其他地区的访问请求。

配置步骤:

  1. 登录云防火墙控制台,进入“访问控制” > “互联网边界防护规则”页面。
  2. 单击“添加”,配置阻断规则:
    • 方向:外-内
    • 源:地域,选择需要阻断的地区(如“北京”以外的所有地区)
    • 目的:网站服务器的EIP
    • 服务:ANY(或指定HTTP/HTTPS端口)
    • 动作:阻断
    • 说明:配置“地域”防护时,需考虑公网IP可能更换地址的情况

4.4 场景三:网站服务器的通用安全策略模板

以下是一个网站服务器的通用安全策略配置模板,包含入云方向和出云方向的完整配置:

入云方向(外-内)策略:

  1. 放行HTTP/HTTPS流量:放行所有来源对网站服务器80和443端口的访问。
  2. 放行管理IP:放行指定管理IP对SSH/RDP端口的访问。
  3. 阻断恶意IP:将已知恶意IP加入黑名单直接拦截。
  4. 阻断所有其他入站流量:作为兜底规则,阻断所有未匹配的入站流量。

出云方向(内-外)策略:

  1. 放行必要出站流量:放行网站服务器访问数据库、API服务、NTP、DNS等必要服务的流量。
  2. 阻断所有其他出站流量:作为兜底规则,防止服务器被入侵后向外发起恶意连接。

配置阻断策略时的注意事项:对于正向代理IP(如公司出口IP),影响范围较大,请谨慎配置阻断策略。

5. 黑白名单配置与使用

5.1 黑名单配置

黑名单适用于快速拦截已识别的恶意IP地址。配置黑名单后,来自该IP或IP地址段的访问将被直接拦截,不再经过任何检测。

配置步骤:

  1. 登录云防火墙控制台,进入“访问控制” > “互联网边界防护规则”页面。
  2. 选择“黑名单”页签。
  3. 单击“添加”,配置黑名单规则:
    • 地址方向:选择“源地址”或“目的地址”
    • IP地址:填写需要拦截的恶意IP或IP段
    • 协议类型:TCP、UDP、ICMP或ANY
    • 端口:设置需要拦截的端口,如“1-65535”表示全部端口

黑名单配置注意事项:

  • 云防火墙最多支持配置2000条黑名单。
  • 当需要配置的黑名单IP超出限制时,可通过添加IP地址组并在防护规则中引用的方式实现。
  • 配置黑名单时,如果涉及地址转换或存在代理的场景,需要谨慎评估拦截IP的影响。
  • 如果IP为WAF的回源IP,建议使用白名单或配置放行的防护规则,请谨慎配置黑名单规则。

5.2 白名单配置

白名单适用于放行明确可信的IP地址。配置白名单后,来自该IP或IP地址段的访问将被直接放行,不再经过任何检测。

配置步骤:

  1. 登录云防火墙控制台,进入“访问控制” > “互联网边界防护规则”页面。
  2. 选择“白名单”页签。
  3. 单击“添加”,配置白名单规则:
    • 地址方向:选择“源地址”或“目的地址”
    • IP地址:填写需要放行的可信IP或IP段
    • 协议类型:TCP、UDP、ICMP或ANY
    • 端口:设置需要放行的端口

白名单配置注意事项:

  • 云防火墙最多支持配置2000条白名单。
  • 当需要配置的白名单IP超出限制时,可通过添加IP地址组并在防护规则中引用的方式实现。
  • 回源IP加入“白名单”后,这些流量将被直接放通,CFW不再进行任何防护。

6. 入侵防御系统(IPS)配置

6.1 IPS概述

入侵防御(IPS)功能结合华为多年攻防积累的经验规则,实时检测和防护访问流量,拦截多种常见的网络攻击,有效保护您的资产。IPS提供多类规则库:

  • 基础防御:内置的规则库,覆盖常见网络攻击,为资产提供基础的防护能力。
  • 虚拟补丁:在网络层级为IPS提供热补丁,实时拦截高危漏洞的远程攻击行为,同时避免修复漏洞时造成业务中断。更新的规则优先进入虚拟补丁库中。
  • 自定义IPS特征(仅专业版支持):内置规则库无法满足需求时,支持自定义特征规则。支持添加HTTP、TCP、UDP、POP3、SMTP、FTP协议类型的特征规则。

6.2 IPS防护模式

IPS提供四种防护模式:

  • 观察模式:仅对攻击事件进行检测并记录到“攻击事件日志”中,不做拦截。
  • 拦截模式-宽松:防护粒度较粗,拦截可信度高且威胁程度高的攻击事件。
  • 拦截模式-中等:防护粒度中等,满足大多数场景下的防护需求。
  • 拦截模式-严格:防护粒度精细,全量拦截攻击请求。

6.3 IPS配置最佳实践

开启拦截模式后,入侵防御IPS功能会拦截各类威胁和恶意流量。建议遵循以下部署策略:

  1. 优先开启观察模式:在业务上线初期,优先开启“观察模式”,等待业务运行一段时间。
  2. 排查误拦截:通过查看攻击事件日志,分析是否存在误拦截情况。
  3. 逐步切换至拦截模式:确认无误拦截后,再逐步更换至“拦截模式”。
  4. 根据业务选择拦截粒度:大多数场景下选择“拦截模式-中等”即可满足防护需求。

IPS配置步骤:

  1. 登录CFW控制台。
  2. 在左侧导航栏中,选择“入侵防御”界面。
  3. 保持“基础防御”右侧开关开启。
  4. 在“防护模式”栏中,选择合适的防护模式。
  5. 如需开启虚拟补丁,打开虚拟补丁开关。

IPS配置限制:

  • 入侵防御不支持对TLS、SSL加密的流量进行解密检测和防御。
  • 如果已添加IPS自定义规则,则不支持关闭IPS基础防御功能。
  • 如果已开启虚拟补丁、敏感目录扫描防御或反弹Shell检测防御功能,则在关闭IPS基础防御功能时也会被同步关闭。

7. CFW与WAF、DDoS高防、CDN的协同配置

7.1 多服务协同场景概述

在实际生产环境中,网站服务器通常会同时使用多种华为云安全服务。Web应用防火墙(WAF)、DDoS高防(Advanced Anti-DDoS)、内容分发网络(CDN)会对用户的流量进行反向代理。部署后,CFW接收到的源IP为上述服务的回源IP。

当配置了华为云的其他产品后,业务流量会经过多道防护。在对入云流量进行防护时,如果CFW前存在反向代理服务(即购买了CDN、DDoS高防或云模式WAF),需配置放行回源IP策略,避免误拦截。

7.2 回源IP放行配置

对于DDoS高防/CDN和云模式WAF,建议采用以下两种方式之一配置回源IP放行:

方式一:创建放行的防护规则

添加一条“优先级”“置顶”的“放行”策略,放行所有回源IP。配置后CFW仍会对流量进行检测,进一步保证流量安全。

方式二:添加回源IP至白名单

回源IP加入“白名单”后,这些流量将被直接放通,CFW不再进行任何防护。

重要提醒:

  • 请避免将回源IP加入黑名单或阻断的防护策略中,否则将会阻断来自这个IP的所有流量,影响业务。
  • 流量经过反向代理后,源IP被转换为回源IP,此时如果受到外部攻击,CFW无法获取到攻击者的真实IP地址,可通过X-Forwarded-For字段获取真实IP地址。

7.3 ELB模式WAF的配置

对于ELB模式WAF,流量先经过CFW再经过WAF,正常配置即可。无需特殊处理回源IP。

8. 通过API和SDK批量管理安全策略

8.1 API调用概述

华为云云防火墙提供RESTful API,允许用户通过HTTPS请求调用,进行防火墙实例的查询、更新等操作。通过API可以实现安全策略的批量导入、导出和自动化管理。

8.2 获取认证凭证

调用API前需要获取以下信息:

  • 项目ID(project_id):用于明确项目归属,可从API调用处获取,也可从控制台获取。
  • 防火墙实例ID(fw_instance_id):创建云防火墙后用于标志防火墙由系统自动生成的标志ID。默认情况下,fw_instance_id为空时返回账号下第一个墙的信息。
  • 防护对象ID:创建云防火墙后用于区分互联网边界防护和VPC边界防护的标志ID。type为0的为互联网边界防护对象ID,type为1的为VPC边界防护对象ID。

8.3 Python SDK配置示例

以下是通过Python SDK调用云防火墙API的完整示例:

# 华为云CFW Python SDK使用示例
import requests
import json
from huaweicloudsdkcore.auth.credentials import BasicCredentials
from huaweicloudsdkcfw.v1 import CfwClient, AddAclRuleRequest, AddAclRuleRequestBody
from huaweicloudsdkcfw.v1.model import RuleAddressDto, RuleServiceDto

# 配置认证信息
ak = \"your_access_key\"
sk = \"your_secret_key\"
project_id = \"your_project_id\"

# 创建认证凭证
credentials = BasicCredentials(ak, sk, project_id)

# 创建CFW客户端
client = CfwClient.new_builder() \\
    .with_credentials(credentials) \\
    .with_region(\"cn-north-4\") \\
    .build()

# 构建添加防护规则的请求
add_request = AddAclRuleRequest()
add_request.body = AddAclRuleRequestBody(
    object_id=\"your_protection_object_id\",  # 防护对象ID
    type=0,  # 0表示互联网边界防护
    rules=[
        {
            \"name\": \"放行管理IP访问SSH\",
            \"direction\": 0,  # 0表示外-内方向
            \"source\": RuleAddressDto(
                type=0,  # 0表示IP地址类型
                address=\"203.0.113.10\",  # 管理IP
                address_type=0  # 0表示IPv4
            ),
            \"destination\": RuleAddressDto(
                type=0,
                address=\"网站服务器EIP\",
                address_type=0
            ),
            \"service\": RuleServiceDto(
                protocol=6,  # 6表示TCP协议
                source_port=None,
                dest_port=\"22\"
            ),
            \"action\": 1,  # 1表示放行
            \"sequence\": 1  # 优先级,1为最高
        }
    ]
)

# 执行添加规则请求
response = client.add_acl_rule(add_request)
print(json.dumps(response.to_dict(), indent=2))

8.4 批量导入导出安全策略

云防火墙控制台支持通过模板批量导入和导出防护策略。操作步骤如下:

  1. 登录云防火墙控制台。
  2. 在左侧导航栏中进入对应防护规则管理页面。
  3. 单击页面右上方“策略导入导出”。
  4. 单击“下载模板”,下载导入规则模板到本地。
  5. 按表格要求填写待添加的防护策略信息。
  6. 单击“导入规则”,导入防护规则表。

导入限制:

  • 最大支持每个页签中单次导入640条规则/成员。
  • 请按照模板要求填写相应参数,确保导入文件的格式与模板一致。
  • 导入后的策略优先级低于已创建的策略。

如果业务需要导入/导出VPC边界防护策略,请确认防火墙版本是“专业版”。

9. 日志审计与安全策略持续优化

9.1 访问控制日志

云防火墙提供详细的访问控制日志,记录每条策略的命中情况。通过分析访问控制日志,可以:

  • 验证安全策略是否按预期生效
  • 发现未授权的访问尝试
  • 识别需要调整的策略规则

9.2 攻击事件日志

攻击事件日志记录IPS检测到的所有攻击事件。通过分析攻击事件日志,可以:

  • 了解当前面临的威胁态势
  • 发现误拦截情况并及时调整
  • 评估IPS防护效果

9.3 流量日志

流量日志记录经过云防火墙的所有流量信息。通过分析流量日志,可以:

  • 了解业务流量趋势
  • 发现异常的流量模式
  • 为策略优化提供数据支撑

9.4 持续优化建议

  1. 定期审查策略:定期审查现有的安全策略,删除无效或冗余的规则。
  2. 基于日志调整:根据访问控制日志和攻击事件日志的分析结果,及时调整策略配置。
  3. 监控误拦截:特别关注IPS的误拦截情况,及时将误拦截的规则动作从“拦截”修改为“观察”。
  4. 保持规则更新:关注华为云发布的安全公告和规则更新,及时更新IPS规则库。

10. 常见问题与最佳实践总结

10.1 配置检查清单

完成网站服务器安全策略配置后,建议对照以下清单进行检查:

  • 网站服务器的EIP是否已开启云防火墙防护
  • 是否配置了放行HTTP/HTTPS流量的防护规则
  • 是否配置了管理IP的白名单或放行规则
  • 是否配置了兜底的阻断规则
  • IPS是否已开启并选择了合适的防护模式
  • 如果使用了WAF/CDN/DDoS高防,是否已配置回源IP放行
  • 是否配置了必要的出云方向策略

10.2 最佳实践总结

  1. 最小权限原则:只放行业务必需的流量,阻断所有其他流量。
  2. 分层防护:结合访问控制规则和IPS实现多层防护。
  3. 先观察后拦截:IPS配置时先开启观察模式,确认无误后再切换至拦截模式。
  4. 放行优先于阻断:在防护规则中,将放行规则置于阻断规则之前。
  5. 具体优先于宽泛:将更具体的规则置于更宽泛的规则之前。
  6. 定期审计与优化:定期审查日志和策略,持续优化安全配置。

问答1:云防火墙默认是放行所有流量还是阻断所有流量?

开启云防火墙防护时,系统默认放行所有流量。如果未配置任何访问控制策略,内部服务器与外网之间的通信将完全开放。因此,必须主动配置防护规则来实现流量的精细化管控。

问答2:防护规则、黑名单和白名单的防护顺序是什么?

云防火墙匹配访问控制策略的防护优先级由高到低为:流量封堵 -> 白名单 -> 黑名单 -> 防护策略(ACL)。白名单中的流量被直接放行且不再经过任何检测,黑名单中的流量被直接拦截,防护规则最后匹配。

问答3:配置阻断策略时有哪些注意事项?

配置阻断策略时需注意:建议优先配置精准IP减少误拦截;对于反向代理IP(如WAF回源IP、CDN回源IP)谨慎配置阻断策略,建议配置放行规则或白名单;对于正向代理IP(如公司出口IP)影响范围较大,谨慎配置阻断策略;配置地域防护时需考虑公网IP可能更换地址的情况。

问答4:IPS应该选择什么防护模式?

建议优先开启“观察模式”,仅对攻击事件进行检测和记录但不做拦截。等待业务运行一段时间,通过攻击事件日志排查是否存在误拦截后,再逐步更换至“拦截模式”。大多数场景下选择“拦截模式-中等”即可满足防护需求。

问答5:CFW与WAF同时使用时需要注意什么?

当CFW前存在云模式WAF时,CFW接收到的源IP为WAF的回源IP。需要配置放行回源IP的策略,避免误拦截。建议创建放行的防护规则(优先级置顶)或将回源IP加入白名单。请避免将回源IP加入黑名单或阻断策略中。

问答6:云防火墙最多支持配置多少条防护策略?

一个防火墙实例最多添加20,000条防护策略(防护规则和黑、白名单的总和)。其中黑名单最多2000条,白名单最多2000条。当需要配置的IP超出限制时,可通过添加IP地址组并在防护规则中引用的方式实现。

相关文章

找华为云总代理商?我们是最好的选择!

找华为云总代理商?我们是最好的选择!

我们是华为云总代理商,能为个人、企业、国有机构和政府单位等用户提供了优质的云服务,并可节省一定的成本。我们直接跟终端用户合作,使用户能够享受到更高质量、更优惠的云服务,同时与我们合作的公司也能够获得稳…

华为云服务器购买怎么便宜?小公司省钱攻略来了!这样买立省好几千​

华为云服务器购买怎么便宜?小公司省钱攻略来了!这样买立省好几千​

很多朋友都在吐槽:“华为云服务器太贵了,预算有限实在买不起!” 其实,买华为云服务器贵不贵,关键看你会不会选、会不会买。今天就来给大家分享一套超实用的省钱攻略,小公司、创业团队也能轻松用得起稳定又安全…

华为云服务器采购总嫌贵?30%华为云返点返佣 + 旗舰级代理保障,这波省钱操作别错过!

华为云服务器采购总嫌贵?30%华为云返点返佣 + 旗舰级代理保障,这波省钱操作别错过!

最近不少做 IT 运维或企业采购的朋友跟我吐槽,公司要上华为云服务器,去官网一看报价直接犯了难 —— 按年付费算下来,比预期预算高出不少。要是赶上业务扩张需要多台服务器,这笔开支更是让财务部门直皱眉。…

2026华为云返点返佣政策深度解析:头部代理返佣优势与企业合作指南

2026华为云返点返佣政策深度解析:头部代理返佣优势与企业合作指南

上海汪远信息科技有限所在公司年销华为云产品3亿+,属于头部代理梯队,可为合作客户提供最高30%的返佣优惠,直接帮助企业降低30%的云资源成本。…

华为云代理商有哪些?华为云代理返点是真的么?

华为云代理商有哪些?华为云代理返点是真的么?

一,华为云代理商简介华为云代理商,顾名思义就是替华为云做华为云服务器数据库等公有云产品推广的代理商,每推广出一单华为云服务器,华为云会跟这个代理商结算佣金,佣金比例分为月度佣金,季度佣金和年度佣金,华…

2026华为云返点返佣政策深度解析:头部代理返佣优势与企业合作指南

2026华为云返点返佣政策深度解析:头部代理返佣优势与企业合作指南

一、华为云代理商的核心价值定位1. 代理商的角色与职责华为云代理商作为华为云生态的核心合作伙伴,承担着三重核心职能:•产品推广销售:负责推广销售华为云全系列云产品,包括云服务器ECS、云数据…