文档首页/ 云防火墙 CFW/ 产品介绍/ 约束与限制
更新时间:2025-06-27 GMT+08:00
查看PDF
分享

约束与限制

本文介绍云防火墙CFW服务在使用过程中的约束和限制。

CFW使用限制

  • 仅支持对部署在华为云的业务提供防护,不支持智能边缘云IEC的业务,也不支持跨云使用。
  • 支持弹性公网IP EIP的流量防护,不支持全域弹性公网IP G-EIP、API网关APIG绑定的EIP的流量防护。
  • 购买的云防火墙只能在当前选择的区域使用,如需在其它区域使用,请切换到对应区域进行购买。有关支持购买CFW的区域信息,请参见功能总览
  • VPC边界流量防护功能依赖企业路由器ER服务引流,使用该功能时,需确保账号下至少有一个企业路由器。
  • 云防火墙不支持防护中文域名。

防护策略配额限制

  • 一个防火墙实例最多添加20,000条防护策略(防护规则和黑白名单),同时黑白名单限制如下:
    • 一个防火墙实例最多添加2,000条黑名单。
    • 一个防火墙实例最多添加2,000条白名单。
  • 成员组
    • IP地址组
      • 每个防火墙实例下最多添加3,800个IP地址组。
      • 每个IP地址组中最多添加640个IP地址成员。
      • 每个防火墙实例下最多添加30,000个IP地址。
    • 服务组
      • 每个防火墙实例下最多添加900个服务成员。
      • 每个防火墙实例下最多添加512个服务组。
      • 每个服务组中最多添加64个服务成员。
    • 域名组
      • 域名组中所有域名被“防护规则”引用最多40,000次,泛域名(例如:*.example.com)被“防护规则”引用最多2000次。
      • 应用域名组(七层协议解析)
        • 每个防火墙实例下最多添加500个域名组。
        • 每个防火墙实例下最多添加2500个域名成员。
        • 每个应用域名组中最多添加1500个域名成员。
      • 网络域名组(四层协议解析)
        • 每个防火墙实例下最多添加1000个域名成员。
        • 每个网络域名组中最多添加15个域名成员。
        • 每个域名组最多支持解析1500条IP地址。
        • 每个域名最多支持解析1000条IP地址。

基础防御IPS限制

  • 修改基础防御规则动作
    • 最多可修改3000条规则为“观察”
    • 最多可修改3000条规则为“拦截”
    • 最多可修改128条规则为“禁用”
  • 自定义IPS特征
    • 仅专业版支持自定义IPS特征。
    • 最多支持添加500条特征。

日志数据限制

  • 云防火墙支持查看7天以内的日志数据,如果需要记录并查看1-365天的日志数据,您可以将单类或者多类日志记录至云日志服务LTS中。
  • 单个日志单次最多支持导出100,000条记录。