文档首页/ 云防火墙 CFW/ API参考/ API/ ACL规则管理/ 创建ACL规则
更新时间:2024-10-31 GMT+08:00
在线调试
CLI示例
查看PDF
分享

创建ACL规则

功能介绍

创建ACL规则

调用方法

请参见如何调用API

URI

POST /v1/{project_id}/acl-rule

表1 路径参数

参数

是否必选

参数类型

描述

project_id

String

项目ID, 可以从调API处获取,也可以从控制台获取。项目ID获取方式
表2 Query参数

参数

是否必选

参数类型

描述

enterprise_project_id

String

企业项目ID,用户根据组织规划企业项目,对应的ID为企业项目ID,可通过如何获取企业项目ID获取,用户未开启企业项目时为0

fw_instance_id

String

防火墙id,可通过防火墙ID获取方式获取

请求参数

表3 请求Header参数

参数

是否必选

参数类型

描述

X-Auth-Token

String

用户Token。可通过如何获取用户Token获取。
表4 请求Body参数

参数

是否必选

参数类型

描述

object_id

String

防护对象id,是创建云防火墙后用于区分互联网边界防护和VPC边界防护的标志id,可通过调用查询防火墙实例接口获得,通过返回值中的data.records.protect_objects.object_id(.表示各对象之间层级的区分)获得,注意type为0的为互联网边界防护对象id,type为1的为VPC边界防护对象id,type可通过data.records.protect_objects.type(.表示各对象之间层级的区分)获得

type

Integer

规则类型,0:互联网边界规则,1:vpc间规则,2:nat规则,当type取0时,规则源和目的地址需要为公网ip或域名,vpc间规则需要源和目的地址为私有ip,nat规则需要源地址为私网ip,目的地址为公网ip或域名。

rules

Array of rules objects

添加规则请求规则列表
表5 rules

参数

是否必选

参数类型

描述

name

String

规则名称

sequence

OrderRuleAclDto object

修改规则顺序请求体

address_type

Integer

地址类型,0表示ipv4,1表示ipv6

action_type

Integer

规则动作,0表示允许通行(permit),1表示拒绝通行(deny)

status

Integer

规则启用状态,0表示禁用,1表示启用

applications

Array of strings

规则应用列表,规则应用类型包括:“HTTP”,"HTTPS","TLS1",“DNS”,“SSH”,“MYSQL”,“SMTP”,“RDP”,“RDPS”,“VNC”,“POP3”,“IMAP4”,“SMTPS”,“POP3S”,“FTPS”,“ANY”,“BGP”等。

long_connect_time

Long

长连接时长

long_connect_time_hour

Long

长连接时长对应小时

long_connect_time_minute

Long

长连接时长对应分钟

long_connect_time_second

Long

长连接时长秒

long_connect_enable

Integer

是否支持长连接,0表示不支持长连接,1表示支持长连接

description

String

描述

direction

Integer

方向:0表示外到内,1表示内到外,规则type=0(互联网规则)或者type= 2(nat规则)时方向值必填

source

RuleAddressDtoForRequest object

源地址传输对象

destination

RuleAddressDtoForRequest object

目的地址传输对象

service

RuleServiceDto object

服务对象

tag

TagsVO object

规则附带标签对象
表6 OrderRuleAclDto

参数

是否必选

参数类型

描述

dest_rule_id

String

目标规则id,添加规则位于此规则之后,非置顶时不能为空,置顶时为空,目标规则id可以通过查询防护规则接口获得,通过返回值中的data.records.rule_id(.表示各对象之间层级的区分)获得。

top

Integer

是否置顶,0代表非置顶,1代表置顶

bottom

Integer

是否置底,0代表非置底,1代表置底
表7 RuleAddressDtoForRequest

参数

是否必选

参数类型

描述

type

Integer

输入类型0手工输入,1关联IP地址组,2域名,3地理位置,4域名组,5多对象,6域名组-网络型,7域名组-应用型。

address_type

Integer

地址类型0 ipv4,1 ipv6,当type为0手动输入类型时不能为空

address

String

IP地址信息,当type为0手动输入类型时不能为空

address_set_id

String

关联IP地址组ID,当type为1关联IP地址组类型时不能为空,可通过查询地址组列表接口查询获得,通过返回值中的data.records.set_id(.表示各对象之间层级的区分)获得。

address_set_name

String

关联IP地址组名称,当type为1关联IP地址组类型时不能为空,可通过查询地址组列表接口查询获得,通过返回值中的data.records.name(.表示各对象之间层级的区分)获得。

domain_address_name

String

type为2(域名)和7(应用域名组)具体内容根据type中7修改后的类型名称

region_list_json

String

规则地域列表json值

region_list

Array of IpRegionDto objects

规则地域列表

domain_set_id

String

域名组id,type为4(域名组)或7(域名组-应用型)时不能为空。可通过查询域名组列表接口查询获得,通过返回值中的data.records.set_id(.表示各对象之间层级的区分)获得。

domain_set_name

String

域名组名称,type为4(域名组)或7(域名组-应用型)时不能为空。可通过查询域名组列表接口查询获得,通过返回值中的data.records.name(.表示各对象之间层级的区分)获得。

ip_address

Array of strings

IP地址列表,当type为5(多对象)时不能为空。

address_set_type

Integer

地址组类型,当type为1(关联IP地址组)时不能为空。0表示自定义地址组,1表示WAF回源IP地址组,2表示DDoS回源IP地址组,3表示NAT64转换地址组

predefined_group

Array of strings

预定义地址组id列表,当type为5(多对象)时不能为空。地址组id可通过查询地址组列表接口查询获得,通过返回值中的data.records.set_id(.表示各对象之间层级的区分)获得。查询条件中query_address_set_type需要设置为1预定义地址组。

address_group

Array of strings

地址组id列表,当type为5(多对象)时不能为空。地址组id可通过查询地址组列表接口查询获得,通过返回值中的data.records.set_id(.表示各对象之间层级的区分)获得。查询条件中query_address_set_type需要设置为0自定义地址组。
表8 IpRegionDto

参数

是否必选

参数类型

描述

region_id

String

区域id,可通过获取账号、IAM用户、项目、用户组、区域、委托的名称和ID获取。

description_cn

String

区域中文描述,仅当区域为中国区域时使用,可通过地域信息表获取。

description_en

String

区域英文描述,仅当区域为非中国区域时使用,可通过地域信息表获取。

region_type

Integer

区域类型,0表示国家,1表示省份,2表示大洲,可通过地域信息表获取。
表9 RuleServiceDto

参数

是否必选

参数类型

描述

type

Integer

服务输入类型,0为手动输入类型,1为自动输入类型

protocol

Integer

协议类型:TCP为6,UDP为17,ICMP为1,ICMPV6为58,ANY为-1,type为0手动类型时不能为空。

protocols

Array of integers

协议列表,协议类型:TCP为6,UDP为17,ICMP为1,ICMPV6为58,ANY为-1,type为0手动类型时不能为空。

source_port

String

源端口

dest_port

String

目的端口

service_set_id

String

服务组id,当type为1(关联IP地址组)时不能为空,可通过获取服务组列表接口查询获得,通过返回值中的data.records.set_id(.表示各对象之间层级的区分)获得。

service_set_name

String

服务组名称,当type为1(关联IP地址组)时不能为空,可通过获取服务组列表接口查询获得,通过返回值中的data.records.name(.表示各对象之间层级的区分)获得。

custom_service

Array of ServiceItem objects

自定义服务

predefined_group

Array of strings

预定义服务组id列表,服务组id可通过获取服务组列表接口查询获得,通过返回值中的data.records.set_id(.表示各对象之间层级的区分)获得。查询条件中query_service_set_type需要设置为1预定义服务组。

service_group

Array of strings

服务组id列表,服务组id可通过获取服务组列表接口查询获得,通过返回值中的data.records.set_id(.表示各对象之间层级的区分)获得。查询条件中query_service_set_type需要设置为0自定义服务组。

service_group_names

Array of ServiceGroupVO objects

服务组名称列表

service_set_type

Integer

服务组类型,0表示自定义服务组,1表示常用WEB服务,2表示常用远程登录和PING,3表示常用数据库
表10 ServiceItem

参数

是否必选

参数类型

描述

protocol

Integer

协议类型:TCP为6,UDP为17,ICMP为1,ICMPV6为58,ANY为-1,RuleServiceDto.type为0时不能为空。

source_port

String

源端口

dest_port

String

目的端口

description

String

服务成员描述

name

String

服务成员名称
表11 ServiceGroupVO

参数

是否必选

参数类型

描述

name

String

服务组名称

protocols

Array of integers

协议列表,协议类型:TCP为6,UDP为17,ICMP为1,ICMPV6为58,ANY为-1

service_set_type

Integer

服务组类型,0表示自定义服务组,1表示预定义服务组

set_id

String

服务组id,可通过获取服务组列表接口查询获得,通过返回值中的data.records.set_id(.表示各对象之间层级的区分)获得。
表12 TagsVO

参数

是否必选

参数类型

描述

tag_id

String

规则id

tag_key

String

规则标签键

tag_value

String

规则标签值

响应参数

状态码: 200

表13 响应Body参数

参数

参数类型

描述

data

RuleIdList object

创建规则返回值data数据
表14 RuleIdList

参数

参数类型

描述

rules

Array of RuleId objects

规则id列表
表15 RuleId

参数

参数类型

描述

id

String

规则id

name

String

规则名称

状态码: 400

表16 响应Body参数

参数

参数类型

描述

error_code

String

错误码

error_msg

String

错误描述

请求示例

示例为添加一个IPv4类型的外到内的规则,名称为测试规则,源类型为IP地址,地址为1.1.1.1,目的类型为IP地址,目的地址为2.2.2.2,服务类型为服务,协议类型为TCP,源端口为0,目的端口为0,不支持长连接,动作为放行,启用状态为启用

https://{Endpoint}/v1/9d80d070b6d44942af73c9c3d38e0429/acl-rule

{
  "object_id" : "ae42418e-f077-41a0-9d3b-5b2f5ad9102b",
  "rules" : [ {
    "name" : "测试规则",
    "status" : 1,
    "action_type" : 0,
    "description" : "",
    "source" : {
      "type" : 0,
      "address" : "1.1.1.1"
    },
    "destination" : {
      "type" : 0,
      "address" : "2.2.2.2"
    },
    "service" : {
      "type" : 0,
      "protocol" : 6,
      "source_port" : "0",
      "dest_port" : "0"
    },
    "address_type" : 0,
    "tag" : {
      "tag_key" : "",
      "tag_value" : ""
    },
    "long_connect_enable" : 0,
    "direction" : 0,
    "sequence" : {
      "top" : 1,
      "dest_rule_id" : null
    }
  } ],
  "type" : 0
}

响应示例

状态码: 200

添加acl响应

{
  "data" : {
    "rules" : [ {
      "id" : "0475c516-0e41-4caf-990b-0c504eebd73f",
      "name" : "testName"
    } ]
  }
}

状态码: 400

Bad Request

{
  "error_code" : "CFW.00900016",
  "error_msg" : "导入任务进行中,请任务结束后再操作"
}

SDK代码示例

SDK代码示例如下。

Java

示例为添加一个IPv4类型的外到内的规则,名称为测试规则,源类型为IP地址,地址为1.1.1.1,目的类型为IP地址,目的地址为2.2.2.2,服务类型为服务,协议类型为TCP,源端口为0,目的端口为0,不支持长连接,动作为放行,启用状态为启用

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
 
package com.huaweicloud.sdk.test;

import com.huaweicloud.sdk.core.auth.ICredential;
import com.huaweicloud.sdk.core.auth.BasicCredentials;
import com.huaweicloud.sdk.core.exception.ConnectionException;
import com.huaweicloud.sdk.core.exception.RequestTimeoutException;
import com.huaweicloud.sdk.core.exception.ServiceResponseException;
import com.huaweicloud.sdk.cfw.v1.region.CfwRegion;
import com.huaweicloud.sdk.cfw.v1.*;
import com.huaweicloud.sdk.cfw.v1.model.*;

import java.util.List;
import java.util.ArrayList;

public class AddAclRuleSolution {

    public static void main(String[] args) {
        // The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
        // In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
        String ak = System.getenv("CLOUD_SDK_AK");
        String sk = System.getenv("CLOUD_SDK_SK");
        String projectId = "{project_id}";

        ICredential auth = new BasicCredentials()
                .withProjectId(projectId)
                .withAk(ak)
                .withSk(sk);

        CfwClient client = CfwClient.newBuilder()
                .withCredential(auth)
                .withRegion(CfwRegion.valueOf("<YOUR REGION>"))
                .build();
        AddAclRuleRequest request = new AddAclRuleRequest();
        AddRuleAclDto body = new AddRuleAclDto();
        TagsVO tagRules = new TagsVO();
        tagRules.withTagKey("")
            .withTagValue("");
        RuleServiceDto serviceRules = new RuleServiceDto();
        serviceRules.withType(0)
            .withProtocol(6)
            .withSourcePort("0")
            .withDestPort("0");
        RuleAddressDtoForRequest destinationRules = new RuleAddressDtoForRequest();
        destinationRules.withType(0)
            .withAddress("2.2.2.2");
        RuleAddressDtoForRequest sourceRules = new RuleAddressDtoForRequest();
        sourceRules.withType(0)
            .withAddress("1.1.1.1");
        OrderRuleAclDto sequenceRules = new OrderRuleAclDto();
        sequenceRules.withTop(1);
        List<AddRuleAclDtoRules> listbodyRules = new ArrayList<>();
        listbodyRules.add(
            new AddRuleAclDtoRules()
                .withName("测试规则")
                .withSequence(sequenceRules)
                .withAddressType(AddRuleAclDtoRules.AddressTypeEnum.NUMBER_0)
                .withActionType(0)
                .withStatus(AddRuleAclDtoRules.StatusEnum.NUMBER_1)
                .withLongConnectEnable(AddRuleAclDtoRules.LongConnectEnableEnum.NUMBER_0)
                .withDescription("")
                .withDirection(AddRuleAclDtoRules.DirectionEnum.NUMBER_0)
                .withSource(sourceRules)
                .withDestination(destinationRules)
                .withService(serviceRules)
                .withTag(tagRules)
        );
        body.withRules(listbodyRules);
        body.withType(AddRuleAclDto.TypeEnum.NUMBER_0);
        body.withObjectId("ae42418e-f077-41a0-9d3b-5b2f5ad9102b");
        request.withBody(body);
        try {
            AddAclRuleResponse response = client.addAclRule(request);
            System.out.println(response.toString());
        } catch (ConnectionException e) {
            e.printStackTrace();
        } catch (RequestTimeoutException e) {
            e.printStackTrace();
        } catch (ServiceResponseException e) {
            e.printStackTrace();
            System.out.println(e.getHttpStatusCode());
            System.out.println(e.getRequestId());
            System.out.println(e.getErrorCode());
            System.out.println(e.getErrorMsg());
        }
    }
}

Python

示例为添加一个IPv4类型的外到内的规则,名称为测试规则,源类型为IP地址,地址为1.1.1.1,目的类型为IP地址,目的地址为2.2.2.2,服务类型为服务,协议类型为TCP,源端口为0,目的端口为0,不支持长连接,动作为放行,启用状态为启用

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
 
# coding: utf-8

import os
from huaweicloudsdkcore.auth.credentials import BasicCredentials
from huaweicloudsdkcfw.v1.region.cfw_region import CfwRegion
from huaweicloudsdkcore.exceptions import exceptions
from huaweicloudsdkcfw.v1 import *

if __name__ == "__main__":
    # The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
    # In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
    ak = os.environ["CLOUD_SDK_AK"]
    sk = os.environ["CLOUD_SDK_SK"]
    projectId = "{project_id}"

    credentials = BasicCredentials(ak, sk, projectId)

    client = CfwClient.new_builder() \
        .with_credentials(credentials) \
        .with_region(CfwRegion.value_of("<YOUR REGION>")) \
        .build()

    try:
        request = AddAclRuleRequest()
        tagRules = TagsVO(
            tag_key="",
            tag_value=""
        )
        serviceRules = RuleServiceDto(
            type=0,
            protocol=6,
            source_port="0",
            dest_port="0"
        )
        destinationRules = RuleAddressDtoForRequest(
            type=0,
            address="2.2.2.2"
        )
        sourceRules = RuleAddressDtoForRequest(
            type=0,
            address="1.1.1.1"
        )
        sequenceRules = OrderRuleAclDto(
            top=1
        )
        listRulesbody = [
            AddRuleAclDtoRules(
                name="测试规则",
                sequence=sequenceRules,
                address_type=0,
                action_type=0,
                status=1,
                long_connect_enable=0,
                description="",
                direction=0,
                source=sourceRules,
                destination=destinationRules,
                service=serviceRules,
                tag=tagRules
            )
        ]
        request.body = AddRuleAclDto(
            rules=listRulesbody,
            type=0,
            object_id="ae42418e-f077-41a0-9d3b-5b2f5ad9102b"
        )
        response = client.add_acl_rule(request)
        print(response)
    except exceptions.ClientRequestException as e:
        print(e.status_code)
        print(e.request_id)
        print(e.error_code)
        print(e.error_msg)

Go

示例为添加一个IPv4类型的外到内的规则,名称为测试规则,源类型为IP地址,地址为1.1.1.1,目的类型为IP地址,目的地址为2.2.2.2,服务类型为服务,协议类型为TCP,源端口为0,目的端口为0,不支持长连接,动作为放行,启用状态为启用

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
 
package main

import (
	"fmt"
	"github.com/huaweicloud/huaweicloud-sdk-go-v3/core/auth/basic"
    cfw "github.com/huaweicloud/huaweicloud-sdk-go-v3/services/cfw/v1"
	"github.com/huaweicloud/huaweicloud-sdk-go-v3/services/cfw/v1/model"
    region "github.com/huaweicloud/huaweicloud-sdk-go-v3/services/cfw/v1/region"
)

func main() {
    // The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
    // In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
    ak := os.Getenv("CLOUD_SDK_AK")
    sk := os.Getenv("CLOUD_SDK_SK")
    projectId := "{project_id}"

    auth := basic.NewCredentialsBuilder().
        WithAk(ak).
        WithSk(sk).
        WithProjectId(projectId).
        Build()

    client := cfw.NewCfwClient(
        cfw.CfwClientBuilder().
            WithRegion(region.ValueOf("<YOUR REGION>")).
            WithCredential(auth).
            Build())

    request := &model.AddAclRuleRequest{}
	tagKeyTag:= ""
	tagValueTag:= ""
	tagRules := &model.TagsVo{
		TagKey: &tagKeyTag,
		TagValue: &tagValueTag,
	}
	protocolService:= int32(6)
	sourcePortService:= "0"
	destPortService:= "0"
	serviceRules := &model.RuleServiceDto{
		Type: int32(0),
		Protocol: &protocolService,
		SourcePort: &sourcePortService,
		DestPort: &destPortService,
	}
	addressDestination:= "2.2.2.2"
	destinationRules := &model.RuleAddressDtoForRequest{
		Type: int32(0),
		Address: &addressDestination,
	}
	addressSource:= "1.1.1.1"
	sourceRules := &model.RuleAddressDtoForRequest{
		Type: int32(0),
		Address: &addressSource,
	}
	topSequence:= int32(1)
	sequenceRules := &model.OrderRuleAclDto{
		Top: &topSequence,
	}
	descriptionRules:= ""
	directionRules:= model.GetAddRuleAclDtoRulesDirectionEnum().E_0
	var listRulesbody = []model.AddRuleAclDtoRules{
        {
            Name: "测试规则",
            Sequence: sequenceRules,
            AddressType: model.GetAddRuleAclDtoRulesAddressTypeEnum().E_0,
            ActionType: int32(0),
            Status: model.GetAddRuleAclDtoRulesStatusEnum().E_1,
            LongConnectEnable: model.GetAddRuleAclDtoRulesLongConnectEnableEnum().E_0,
            Description: &descriptionRules,
            Direction: &directionRules,
            Source: sourceRules,
            Destination: destinationRules,
            Service: serviceRules,
            Tag: tagRules,
        },
    }
	request.Body = &model.AddRuleAclDto{
		Rules: listRulesbody,
		Type: model.GetAddRuleAclDtoTypeEnum().E_0,
		ObjectId: "ae42418e-f077-41a0-9d3b-5b2f5ad9102b",
	}
	response, err := client.AddAclRule(request)
	if err == nil {
        fmt.Printf("%+v\n", response)
    } else {
        fmt.Println(err)
    }
}

更多

更多编程语言的SDK代码示例,请参见API Explorer的代码示例页签,可生成自动对应的SDK代码示例。

状态码

状态码

描述

200

添加acl响应

400

Bad Request

401

Unauthorized

403

Forbidden

404

Not Found

500

Internal Server Error

错误码

请参见错误码

父主题: ACL规则管理

相关文档