文档首页/云防火墙 CFW/抽屉式帮助/添加防护规则/防护规则
更新时间:2025-12-26 GMT+08:00
分享

防护规则

开启防火墙防护后,云防火墙将默认放行所有流量,您可以根据业务需要,为防火墙配置不同的防护规则,拦截未授权的流量访问,实现多方位流量的安全隔离管控。

防护对象

  • 支持防护的对象:五元组、IP地址组、地理位置(地域)、域名和域名组
  • 网络类型:公网IP、私网IP(仅专业版支持)

防护动作

防护规则的动作支持设置为放行阻断。当流量包的报文元素与防护规则匹配成功时,云防火墙执行该防护规则的动作。
  • 放行:防火墙允许此流量转发。
  • 阻断:防火墙禁止此流量转发。配置阻断IP的防护规则需注意以下几点:
    1. 建议优先配置精准的IP(如192.168.10.5),减少网段配置,避免误拦截。
    2. 对于反向代理IP(如内容分发网络(CDN)、DDoS高防、Web应用防火墙(WAF)的回源IP),请谨慎配置阻断策略,建议配置放行的防护规则或白名单。
    3. 对于正向代理IP(如公司出口IP),影响范围较大,请谨慎配置阻断策略。
    4. 配置“地域”防护时,需考虑公网IP可能更换地址的情况。

      对于源或目的选择为地理位置(地域)防护规则,防护对象为IPv4的地址生效。

通配符规则

参数名称

输入示例

说明

源/目的

0.0.0.0/0

所有IP。

域名

www.example.com

对www.example.com域名生效。

*.example.com

所有以example.com为后缀的域名,例如:test.example.com。

服务-源端口/目的端口

1-65535

所有端口生效。

80-443

对80到443之间的所有端口生效。

  • 80
  • 443

对80和443端口生效。

防护规则配置示例

此示例为配置两条防护规则,一条拦截所有流量,优先级置于最低,一条单独放行指定IP的流量访问,优先级设置最高。其余参数可根据您的部署进行填写。更多参数配置请参见通过防护规则拦截/放行流量

  • 一条拦截所有流量,优先级置于最低,设置参数如下,其余参数可根据您的部署进行填写:
    图1 拦截所有流量

    表1 拦截所有流量

    参数

    示例

    说明

    方向

    外-内

    防护的流量的方向。

    Any

    网络流量的发起方。

    目的

    Any

    网络流量的接收方。

    服务

    Any

    网络流量的协议、源端口、目的端口。

    应用

    Any

    针对应用层协议的防护策略。

    动作

    阻断

    流量经过防火墙时的处理动作。

  • 一条单独放行指定IP的流量访问,优先级设置最高,设置参数如下,其余参数可根据您的部署进行填写:
    图2 放行指定IP

    表2 放行指定IP

    参数

    示例

    说明

    方向

    外-内

    防护的流量的方向。

    IP地址/IP地址组/地域

    IP地址

    192.168.0.0

    网络流量的发起方。

    目的

    Any

    网络流量的接收方。

    服务

    Any

    网络流量的协议、源端口、目的端口。

    应用

    Any

    针对应用层协议的防护策略。

    动作

    放行

    流量经过防火墙时的处理动作。

假如您需要拦截所有来源“新加坡”地区的访问流量,可以参照以下参数设置防护规则。更多参数配置请参见通过防护规则拦截/放行流量
图3 拦截新加坡地区的访问流量

表3 拦截某一地区的访问流量

参数

示例

说明

方向

外-内

防护的流量的方向。

IP地址/IP地址组/地域

地域

新加坡

选择“地域”并指定地区

网络流量的发起方。

目的

Any

网络流量的接收方。

服务

Any

网络流量的协议、源端口、目的端口。

应用

Any

针对应用层协议的防护策略。

动作

阻断

流量经过防火墙时的处理动作。

假如您需要放行EIP(xx.xx.xx.48)对“cfw-test.com”“*.example.com”的访问流量,设置参数如下,其余参数可根据您的部署进行填写。更多参数配置请参见通过防护规则拦截/放行流量
  • 将平台域名添加至应用型域名组,配置示例如下:
    图4 添加某平台域名组

    表4 添加某平台域名组

    参数

    示例

    说明

    域名组类型

    应用型

    选择域名组类型。

    域名组名称

    某平台

    自定义域名组名称。

    域名

    cfw-test.com

    *.example.com

    输入域名或泛域名。多个域名以英文逗号、换行、分号或空格相隔。

    描述

    放行业务访问某平台的流量

    自定义当前域名组的内容和使用场景,用于标识并应用域名组。

  • 配置两条防护规则:
    • 一条拦截所有流量,优先级置于最低,配置示例如下:
      图5 拦截所有流量

      表5 拦截所有流量

      参数

      示例

      说明

      方向

      内-

      防护的流量的方向。

      Any

      网络流量的发起方。

      目的

      Any

      网络流量的接收方。

      服务

      Any

      网络流量的协议、源端口、目的端口。

      应用

      Any

      针对应用层协议的防护策略。

      动作

      阻断

      流量经过防火墙时的处理动作。

    • 一条放行EIP对某平台的流量访问,优先级设置最高,配置示例如下:
      图6 放行EIP对某平台的访问流量

      表6 放行EIP对某平台的访问流量

      参数

      示例

      说明

      方向

      内-外

      防护的流量的方向。

      IP地址/IP地址组

      IP地址

      xx.xx.xx.48

      网络流量的发起方。

      目的

      IP地址/IP地址组/地域/域名/域名组

      应用型域名组、某平台

      域名/域名组

      应用型、应用域名组、某平台

      网络流量的接收方。

      服务

      服务,其他参数保持缺省值即可

      网络流量的协议、源端口、目的端口。

      应用

      应用,HTTP、HTTPS

      针对应用层协议的防护策略。

      动作

      放行

      流量经过防火墙时的处理动作。

此处以SNAT防护的配置为例进行配置说明。假如您的私网IP为“10.1.1.2”, 通过NAT网关访问的外部域名为“www.example.com”,您可以参照以下参数配置NAT防护,其余参数可根据您的部署进行填写,更多参数配置请参见通过防护规则拦截/放行流量

图7 添加NAT防护规则
表7 添加NAT防护规则

参数

示例

说明

方向

SNAT

防护的流量的方向。

IP地址

10.1.1.2

网络流量的发起方。

目的

域名/域名组

网络型

www.example.com

网络流量的接收方。

服务

服务

TCP、1-65535、1-65535

网络流量的协议、源端口、目的端口。

应用

应用

HTTP、HTTPS

针对应用层协议的防护策略。

防护动作

放行

流量经过防火墙时的处理动作。

相关文档

父主题: 添加防护规则