防护规则支持防护以下几种场景:
防护互联网边界中公网资产的流量,请参见“互联网边界防护规则”。
防护互联网边界中私网资产的场景,请参见“NAT流量防护规则”。
防护VPC与VPC之间、VPC与线下IDC之间的访问流量,请参见“VPC边界防护规则”。
注意
如果IP为Web应用防火墙(WAF)的回源IP,建议配置放行的防护规则或白名单,请谨慎配置阻断的防护规则,否则可能会影响您的业务。
- 回源IP的相关信息请参见《Web应用防火墙用户指南》中《放行WAF回源IP》。
- 配置白名单请参见“通过添加黑白名单拦截/放行流量”。
规格限制
仅“专业版”支持VPC边界防护和NAT流量(私网IP)防护。
约束条件
CFW不支持应用层网关(Application Level Gateway,ALG)。ALG能够对应用层数据载荷中的字段进行分析,并针对在载荷中会包含端口和IP地址的多通道协议(例如FTP、SIP等)动态调整策略。但CFW的防护策略仅支持对端口设置静态策略。如果需要允许多通道协议通信,建议配置一条放通所有端口的规则。
CFW长连接业务场景限制,配置策略的时候需要同时开启双向放通的安全策略,如果只开启单向策略,部分场景(开启和关闭防护)需要客户端重新发起连接。
配额限制:
最多添加20000条防护规则。
单条防护规则最大限制如下:
最多添加20条IP地址(源和目的各20条)。
最多关联2条“IP地址组”(源和目的各2条)。
最多关联5条服务组。
域名防护限制:
域名防护时不支持添加中文域名格式。
网络型域名组最多只能保存1000个地址解析结果,超出时,可能导致无法正常访问对应的域名;对于解析结果较多或变化频繁的域名,如果防护流量是HTTP、HTTPS协议,建议优先使用应用型域名组添加策略。
域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全,建议有访问自身业务相关域名场景时配置“DNS服务器配置”。
仅入方向规则(“方向”配置为“外-内”)的“源”地址支持配置“预定义地址组”。
对业务的影响
配置拦截的防护规则时,如果涉及地址转换或者存在代理的场景,需要谨慎评估拦截IP的影响。
互联网边界防护规则
开启弹性公网IP防护,请参见“开启互联网边界流量防护”。
在左侧导航栏中,选择“访问控制> 访问策略管理”,进入“访问策略管理”页面。
添加新的防护规则。
在“互联网边界”页签中,单击“添加”,在弹出的“添加防护规则”中,填写新的防护信息,填写规则请参见下表。
参数名称 参数说明 规则类型 选择“EIP规则”:防护EIP的流量,仅支持配置公网IP;配置私网IP请参见“NAT流量防护规则”。 名称 自定义安全策略规则的名称。 方向 “防护规则”选择EIP规则时,需要选择流量的方向:
- 外-内:互联网访问云上资产(EIP)。
- 内-外:云上资产(EIP)访问互联网。
源 设置会话发起方。
- IP地址:填写公网IP地址,支持设置单个IP地址、多个连续IP地址、地址段。
- 单个公网IP地址,如:xx.xx.10.5
- 多个连续的公网IP地址,中间使用“-”隔开,如:xx.xx.0.2-xx.xx.0.10
- 公网IP地址段,使用"/"隔开掩码,如:xx.xx.2.0/24
IP地址组:支持多个公网IP地址的集合,添加自定义IP地址组请参见“添加自定义IP地址组和IP地址”,预定义地址组请参见“查看预定义地址组”。
说明
“方向”配置为“外-内”时,“源”地址支持配置“预定义地址组”。
- 地域:“方向”选择“外-内”时,支持地理位置防护,通过指定大洲、国家、地区配置防护规则。
- Any:任意源地址。
目的 设置会话接收方。
- IP地址:填写公网IP地址,支持设置单个IP地址、多个连续IP地址、地址段。
- 单个公网IP地址,如:xx.xx.10.5
- 多个连续的公网IP地址,中间使用“-”隔开,如:xx.xx.0.2-xx.xx.0.10
- 公网IP地址段,使用"/"隔开掩码,如:xx.xx.2.0/24
- IP地址组:支持多个公网IP地址的集合,添加自定义IP地址组请参见3.6.6.1 添加自定义IP地址组和IP地址。
- 地域:“方向”选择“内-外”时,支持地理位置防护,通过指定大洲、国家、地区配置防护规则。
域名:“方向”选择“内-外”时,支持多级别单域名(例如,一级域名example.com,二级域名www.example.com等)和泛域名(例如,*.example.com)。
说明
- 如果域名为单个域名,输入后需单击右侧“测试”,以测试域名有效性,并进行DNS解析,请参见《云防火墙用户指南》中“配置DNS解析”章节(目前单个域名解析出的ip地址上限个数为600个)。
- 如果域名为泛域名,无需DNS解析,仅支持添加http/https的应用类型。
域名组:“方向”选择“内-外”时,支持多个域名的集合,添加域名组请参见《云防火墙用户指南》中《添加域名组》。
说明
当您需要防护域名时,建议您优先选择“域名组”。
- Any:任意目的地址。
服务 服务:设置协议类型、源端口和目的端口。
- 协议类型:支持选择TCP、UDP、ICMP。
- 源/目的端口:“协议类型”选择“TCP”或“UDP”时,需要设置端口号。
说明
- 如您需设置该IP地址的全部端口,可配置“端口”为“1-65535”。
- 如您需设置某个端口,可填写为单个端口。例如设置22端口的访问,则配置“端口”为“22”。
- 如您需设置某个范围的端口,可填写为连续端口组,中间使用“-”隔开。例如设置80-443端口的访问,则配置“端口”为“80-443”。
- 服务组:支持多个服务(协议、源端口、目的端口)的集合,添加自定义服务组请参见3.6.8.1 添加自定义服务组和服务,预定义服务组请参见3.6.8.2 查看预定义服务组。
- Any:任意协议类型和端口号。
防护动作 设置流量经过防火墙时的处理动作。
- 放行:防火墙允许此流量转发。
- 阻断:防火墙禁止此流量转发。
启用状态 设置该策略是否立即启用。
:表示立即启用,规则生效。
:表示立即关闭,规则不生效。
策略优先级 设置该策略的优先级:
- 置顶:表示将该策略的优先级设置为最高。
- 移动至选中规则后:表示将该策略优先级设置到某一规则后。
说明
- 设置后,优先级数字越小,策略的优先级越高。
- 添加的第一条防护规则默认优先级是1,无需选择“策略优先级”。
时间计划管理 (可选)单击“时间计划管理”设置规则的生效时间段,选择已设置的时间计划或“新增时间计划”。 配置长连接 当前防护规则仅配置一个“服务”且“协议类型”选择“TCP”或“UDP”时,可配置业务会话老化时间。
- 是:设置长连接时长。
- 否:保留默认时长,各协议规则默认支持的连接时长如下:
- TCP协议:1800s。
- UDP协议:60s。
说明
最大支持50条规则设置长连接。
长连接时长 “配置长连接”选择“是”时,需要配置此参数。
设置长连接时长。输入“时”、“分”、“秒”。
说明
支持时长设置为1秒~1000天。
标签 (可选)用于标识规则,可通过标签实现对安全策略的分类和搜索。 描述 (可选)标识该规则的使用场景和用途,以便后续运维时快速区分不同规则的作用。 单击“确认”,完成配置防护规则。
VPC边界防护规则
开启VPC边界防火墙防护,请参见“开启VPC边界流量防护”。
在左侧导航栏中,选择“访问控制> 访问策略管理”,选择“VPC边界”页签,进入VPC边界管理页面。
添加新的防护规则。
单击“添加”按钮,在弹出的“添加防护规则”中,填写新的防护信息,填写规则请参见下表。
参数名称 参数说明 名称 自定义安全策略规则的名称。 方向 无需选择,VPC间防护规则。 源 设置会话发起方。
- IP地址:支持设置单个IP地址、多个连续IP地址、地址段。
- 单个IP地址,如:192.168.10.5
- 多个连续IP地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
- 地址段,使用"/"隔开掩码,如:192.168.2.0/24
- IP地址组:支持多个IP地址的集合,添加IP地址组请参见“添加自定义IP地址组和IP地址”。
- Any:任意源地址。
目的 设置会话接收方。
- IP地址:支持设置单个IP地址、多个连续IP地址、地址段。
- 单个IP地址,如:192.168.10.5
- 多个连续IP地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
- 地址段,使用"/"隔开掩码,如:192.168.2.0/24
- IP地址组:支持多个IP地址的集合,添加IP地址组请参见“添加自定义IP地址组和IP地址”。
- Any:任意目的地址。
服务 设置访问流量的“协议类型”和“端口号”。
服务:设置协议类型、源端口和目的端口。
- 协议类型:支持选择TCP、UDP、ICMP。
- 源/目的端口:“协议类型”选择“TCP”或“UDP”时,需要设置端口号。
说明
- 如您需设置该IP地址的全部端口,可配置“端口”为“1-65535”。
- 如您需设置某个端口,可填写为单个端口。例如设置22端口的访问,则配置“端口”为“22”。
- 如您需设置某个范围的端口,可填写为连续端口组,中间使用“-”隔开。例如设置80-443端口的访问,则配置“端口”为“80-443”。
- 服务组:支持多个服务(协议、源端口、目的端口)的集合,添加自定义服务组请参见3.6.8.1 添加自定义服务组和服务,预定义服务组请参见3.6.8.2 查看预定义服务组。
- Any:任意协议类型和端口号。
防护动作 设置流量经过防火墙时的处理动作。
- 放行:防火墙允许此流量转发。
- 阻断:防火墙禁止此流量转发。
启用状态 设置该策略是否立即启用。
:表示立即启用,规则生效。
:表示立即关闭,规则不生效。
策略优先级 设置该策略的优先级:
- 置顶:表示将该策略的优先级设置为最高。
- 移动至选中规则后:表示将该策略优先级设置到某一规则后。
说明
- 设置后,优先级数字越小,策略的优先级越高。
- 添加的第一条防护规则默认优先级是1,无需选择“策略优先级”。
时间计划管理 (可选)单击“时间计划管理”设置规则的生效时间段,选择已设置的时间计划或“新增时间计划”。 配置长连接 当前防护规则仅配置一个“服务”且“协议类型”选择“TCP”或“UDP”时,可配置业务会话老化时间。
- 是:设置长连接时长。
- 否:保留默认时长,各协议规则默认支持的连接时长如下:
- TCP协议:1800s。
- UDP协议:60s。
说明
最大支持50条规则设置长连接。
长连接时长 “配置长连接”选择“是”时,需要配置此参数。
设置长连接时长。输入“时”、“分”、“秒”。
说明
支持时长设置为1秒~1000天。
标签 (可选)用于标识规则,可通过标签实现对安全策略的分类和搜索。 描述 (可选)标识该规则的使用场景和用途,以便后续运维时快速区分不同规则的作用。 - IP地址:支持设置单个IP地址、多个连续IP地址、地址段。
单击“确认”,完成配置防护规则。
NAT流量防护规则
开启NAT流量防护,请参见“开启NAT网关流量防护”。
在左侧导航栏中,选择“访问控制> 访问策略管理”,进入“访问策略管理”页面。
添加新的防护规则。
单击“添加”,在弹出的“添加防护规则”中,填写新的防护信息。
DNAT场景填写规则请参见下表
参数名称 参数说明 规则类型 选择NAT规则: 防护NAT网关的流量,支持配置私网IP。
说明
NAT规则需满足:
- “专业版”防火墙。
- 已配置VPC边界防火墙。
名称 自定义安全策略规则的名称。 方向 选择“DNAT”。 源 设置会话发起方。
- IP地址:填写私网IP地址,支持设置单个IP地址、多个连续IP地址、地址段。
- 单个IP地址,如:192.168.10.5
- 多个连续IP地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
- 地址段,使用"/"隔开掩码,如:192.168.2.0/24
- IP地址组:支持多个私网IP地址的集合,添加IP地址组请参见“添加自定义IP地址组和IP地址”。
- 地域:支持地理位置防护,通过指定大洲、国家、地区配置防护规则。
- Any:任意源地址。
目的 设置会话接收方。
- IP地址:填写私网IP地址,支持设置单个IP地址、多个连续IP地址、地址段。
- 单个IP地址,如:192.168.10.5
- 多个连续IP地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
- 地址段,使用"/"隔开掩码,如:192.168.2.0/24
- IP地址组:支持多个私网IP地址的集合,添加IP地址组请参见《云防火墙用户指南》中《添加IP地址组》。
- Any:任意目的地址。
服务 服务:设置协议类型、源端口和目的端口。
- 协议类型:支持选择TCP、UDP、ICMP。
- 源/目的端口:“协议类型”选择“TCP”或“UDP”时,需要设置端口号。
说明
- 如您需设置该IP地址的全部端口,可配置“端口”为“1-65535”。
- 如您需设置某个端口,可填写为单个端口。例如设置22端口的访问,则配置“端口”为“22”。
- 如您需设置某个范围的端口,可填写为连续端口组,中间使用“-”隔开。例如设置80-443端口的访问,则配置“端口”为“80-443”。
- 服务组:支持多个服务(协议、源端口、目的端口)的集合,添加自定义服务组请参见“添加自定义服务组和服务”,预定义服务组请参见“查看预定义服务组”。
- Any:任意协议类型和端口号。
防护动作 设置流量经过防火墙时的处理动作。
- 放行:防火墙允许此流量转发。
- 阻断:防火墙禁止此流量转发。
启用状态 设置该策略是否立即启用。
:表示立即启用,规则生效。
:表示立即关闭,规则不生效。
策略优先级 设置该策略的优先级:
- 置顶:表示将该策略的优先级设置为最高。
- 移动至选中规则后:表示将该策略优先级设置到某一规则后。
说明
- 设置后,优先级数字越小,策略的优先级越高。
- 添加的第一条防护规则默认优先级是1,无需选择“策略优先级”。
时间计划管理 (可选)单击“时间计划管理”设置规则的生效时间段,选择已设置的时间计划或“新增时间计划”。 配置长连接 当前防护规则仅配置一个“服务”且“协议类型”选择“TCP”或“UDP”时,可配置业务会话老化时间。
- 是:设置长连接时长。
- 否:保留默认时长,各协议规则默认支持的连接时长如下:
- TCP协议:1800s。
- UDP协议:60s。
说明
最大支持50条规则设置长连接。
长连接时长 “配置长连接”选择“是”时,需要配置此参数。
设置长连接时长。输入“时”、“分”、“秒”。
说明
支持时长设置为1秒~1000天。
标签 (可选)用于标识规则,可通过标签实现对安全策略的分类和搜索。 描述 (可选)标识该规则的使用场景和用途,以便后续运维时快速区分不同规则的作用。 SNAT场景填写规则请参见下表
参数名称 参数说明 规则类型 选择NAT规则: 防护NAT网关的流量,支持配置私网IP。
说明
NAT规则需满足:
- “专业版”防火墙。
- 已配置VPC边界防火墙。
名称 自定义安全策略规则的名称。 方向 选择“SNAT”。 源 设置会话发起方。
- IP地址:填写私网IP地址,支持设置单个IP地址、多个连续IP地址、地址段。
- 单个IP地址,如:192.168.10.5
- 多个连续IP地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
- 地址段,使用"/"隔开掩码,如:192.168.2.0/24
- IP地址组:支持多个私网IP地址的集合,添加IP地址组请参见“添加自定义IP地址组和IP地址”。
- 地域:支持地理位置防护,通过指定大洲、国家、地区配置防护规则。
- Any:任意源地址。
目的 设置会话接收方。
- IP地址:填写私网IP地址,支持设置单个IP地址、多个连续IP地址、地址段。
- 单个IP地址,如:192.168.10.5
- 多个连续IP地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
- 地址段,使用"/"隔开掩码,如:192.168.2.0/24
- IP地址组:支持多个私网IP地址的集合,添加IP地址组请参见“添加自定义IP地址组和IP地址”。
- 地域:支持地理位置防护,通过指定大洲、国家、地区配置防护规则。
- Any:任意目的地址。
服务 服务:设置协议类型、源端口和目的端口。
- 协议类型:支持选择TCP、UDP、ICMP。
- 源/目的端口:“协议类型”选择“TCP”或“UDP”时,需要设置端口号。
说明
- 如您需设置该IP地址的全部端口,可配置“端口”为“1-65535”。
- 如您需设置某个端口,可填写为单个端口。例如设置22端口的访问,则配置“端口”为“22”。
- 如您需设置某个范围的端口,可填写为连续端口组,中间使用“-”隔开。例如设置80-443端口的访问,则配置“端口”为“80-443”。
- 服务组:支持多个服务(协议、源端口、目的端口)的集合,添加自定义服务组请参见“添加自定义服务组和服务”,预定义服务组请参见“查看预定义服务组”。
- Any:任意协议类型和端口号。
防护动作 设置流量经过防火墙时的处理动作。
- 放行:防火墙允许此流量转发。
- 阻断:防火墙禁止此流量转发。
启用状态 设置该策略是否立即启用。
:表示立即启用,规则生效。
:表示立即关闭,规则不生效。
策略优先级 设置该策略的优先级:
- 置顶:表示将该策略的优先级设置为最高。
- 移动至选中规则后:表示将该策略优先级设置到某一规则后。
说明
- 设置后,优先级数字越小,策略的优先级越高。
- 添加的第一条防护规则默认优先级是1,无需选择“策略优先级”。
配置长连接 当前防护规则仅配置一个“服务”且“协议类型”选择“TCP”或“UDP”时,可配置业务会话老化时间。
- 是:设置长连接时长。
- 否:保留默认时长,各协议规则默认支持的连接时长如下:
- TCP协议:1800s。
- UDP协议:60s。
说明
最大支持50条规则设置长连接。
长连接时长 “配置长连接”选择“是”时,需要配置此参数。
设置长连接时长。输入“时”、“分”、“秒”。
说明
支持时长设置为1秒~1000天。
标签 (可选)用于标识规则,可通过标签实现对安全策略的分类和搜索。 描述 (可选)标识该规则的使用场景和用途,以便后续运维时快速区分不同规则的作用。
单击“确认”,完成配置防护规则。
说明
访问控制策略默认状态为放行。
相关操作
批量添加防护规则请参见“导入/导出防护策略”。
