访问控制策略概述
更新时间 2025-07-30 10:22:37
最近更新时间: 2025-07-30 10:22:37
开启防护后,云防火墙默认放行所有流量,配置合适的访问控制策略能有效地帮助您对内部服务器与外网之间的流量进行精细化管控,防止内部威胁扩散,增加安全战略纵深。
访问控制策略类型
访问控制策略分为“防护规则”和“黑/白名单”两类功能,区别如下表所示,流量命中某一条策略时,执行该策略的动作,各功能的防护顺序请参见“云防火墙的防护顺序是什么”。
防护规则和黑/白名单的区别如下:
| 类型 | 支持的防护对象 | 网络类型 | 防护后的动作 | 应用场景&特点 | 配置方式 |
|---|---|---|---|---|---|
| 防护规则 |
|
|
| 通过具体的特征识别指定流量,适用于需要精细化控制特定流量的情况;例如通过协议类型、端口号、应用等特征配置规则。 | 通过添加防护规则拦截/放行流量 |
| 黑名单 |
| 直接拦截流量。 | 快速拦截已识别的安全威胁,适用于已知恶意流量数据的情况。 | 通过添加黑白名单拦截/放行流量 | |
| 白名单 | 流量被云防火墙放行,不再经过其它功能检测。 | 快速放行可信流量,适用于明确可信IP地址的情况。 |
规格限制
VPC边界防护和NAT流量防护,需满足专业版防火墙且“开启VPC边界流量防护防护”。
配置阻断策略时注意事项
配置阻断IP的防护规则或黑名单时需注意以下几点:
建议优先配置精准的IP(如192.168.10.5),减少网段配置,避免误拦截。
对于反向代理IP(如Web应用防火墙(WAF)的回源IP),请谨慎配置阻断策略,建议配置放行的防护规则或白名单。
对于正向代理IP(如公司出口IP),影响范围较大,请谨慎配置阻断策略。
配置“地域”防护时,需考虑公网IP可能更换地址的情况。
通配符规则
| 参数名称 | 输入示例 | 说明 |
|---|---|---|
| 源/目的 | 0.0.0.0/0 | 所有IP。 |
| 域名 | www.example.com | 对www.example.com域名生效。 |
| 域名 | *.example.com | 所有以example.com为后缀的域名,例如:test.example.com。 |
| 服务-源端口/目的端口 | 1-65535 | 所有端口生效。 |
| 服务-源端口/目的端口 | 80-443 | 对80到443之间的所有端口生效。 |
| 服务-源端口/目的端口 |
| 对80和443端口生效。 |
相关文档
添加单个规则实现流量防护,请参见“通过添加防护规则拦截/放行流量”,添加单个黑/白名单实现流量防护请参见“通过添加黑白名单拦截/放行流量”。
批量添加防护策略,请参见“导入/导出防护策略”。
添加策略之后的后续操作:
策略的命中情况,整体防护概况请参见“通过策略助手查看防护信息”,详细日志请参见“访问控制日志”。
流量趋势和统计结果,整体防护概况请参见“查看流量数据”,详细流量记录请参见“流量日志”。
如果您的业务可能被防护策略误拦截,排查方式请参见“配置CFW防护策略后,业务无法访问怎么办?”。
