如何选择合适的EIP防护带宽？

云防火墙（原生版）C100型实例提供高级版和企业版供用户选择，不同版本支持的EIP防护带宽不一样，建议EIP防护带宽不小于VPC内EIP总带宽。

EIP防护带宽支持范围如下：

开启公网资产保护

互联网边界防火墙帮助您检测和防护云上公网IP资产间的通信流量。只有为资产开启互联网边界防火墙后，您才可以使用云防火墙分析和控制云上主机的互联网访问流量。

您可以在“防火墙开关 > 互联网边界防火墙开关”页面，对指定的公网IP资产开启互联网边界防火墙，如下图所示。

在“访问控制 > 互联网边界规则 > 入向规则”页面可进行配置，如下图所示。

在入向规则的访问策略中，不要对公网IP全部端口开放访问，对外仅开放必要的互联网IP和端口，其他端口请全部设置为拒绝。

放行需要对外开放的应用或端口
在访问控制页面入向规则列表中，依据业务需求，将源IP地址配置为0.0.0.0/0或特定源，目的选择要放开的IP，协议选择ANY或者依据业务需要选择对应协议，动作选择放行。
例如，80端口为Web服务，对全网开放，因此访问源为0.0.0.0/0；1433、3389端口分别为SqlServer、RDP服务，对特定源开放，因此访问源为特定源。
将除放行策略之外的流量设置为拒绝放行
在访问控制页面入向规则列表中，将源IP地址配置为0.0.0.0/0或地址簿中系统默认配置的地址簿ANY（0.0.0.0/0），目的设置为ANY，协议设置为ANY，动作选择拒绝。

在“访问控制 > 互联网边界规则 > 出向规则”页面可进行配置，如下图所示。

出向规则建议不要开放全部放行的策略，只对到必要的外部IP的访问开启放行，其他访问全部设置为拒绝。

放行需要对外访问的应用或端口
在访问控制页面出向规则列表中，依据业务需求，将源IP地址配置为0.0.0.0/0或特定源，也可选择地址簿中系统默认配置的地址簿ANY（0.0.0.0/0）或特定源，目的选择要放开的域名或IP或地址簿中的特定目的，协议选择ANY或者依据业务需要选择对应协议，动作选择放行。
将除放行策略之外的流量设置为拒绝放行
在访问控制页面出向规则列表中，将源IP地址配置为0.0.0.0/0或选择地址簿中系统默认配置的地址簿ANY（0.0.0.0/0），目的设置为ANY，协议设置为ANY，动作选择拒绝。