文档首页/ 云防火墙 CFW/ API参考（安卡拉区域）/ API/ ACL规则管理/ 创建ACL规则

更新时间：2024-12-05 GMT+08:00

在线调试

CLI示例

查看PDF

创建ACL规则

功能介绍

创建ACL规则

调用方法

请参见如何调用API。

URI

POST /v1/{project_id}/acl-rule

表1 路径参数
参数	是否必选	参数类型	描述
project_id	是	String	租户项目id

表2 Query参数
参数	是否必选	参数类型	描述
enterprise_project_id	否	String	企业项目id，用户支持企业项目后，由企业项目生成的id。
fw_instance_id	否	String	防火墙实例id，创建云防火墙后用于标志防火墙由系统自动生成的标志id，可通过调用查询防火墙实例接口，默认情况下，fw_instance_Id为空时，返回账号下第一个墙的信息；fw_instance_Id非空时，返回与fw_instance_Id对应墙的信息。

请求参数

表3 请求Header参数
参数	是否必选	参数类型	描述
X-Auth-Token	是	String	用户Token。通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）

表4 请求Body参数
参数	是否必选	参数类型	描述
object_id	是	String	防护对象id，是创建云防火墙后用于区分互联网边界防护和VPC边界防护的标志id，可通过调用查询防火墙实例接口，注意type为0的为互联网边界防护对象id，type为1的为VPC边界防护对象id。
type	是	Integer	规则type，0：互联网规则，1：vpc规则，2：nat规则
rules	是	Array of rules objects	rules

表5 rules
参数	是否必选	参数类型	描述
name	是	String	规则名称
sequence	是	OrderRuleAclDto object	规则序列
address_type	是	Integer	地址类型，0 ipv4,1 ipv6,2 domain
action_type	是	Integer	动作0：permit,1：deny
status	是	Integer	规则下发状态 0：禁用,1：启用
applications	否	Array of strings	应用列表
applicationsJsonString	否	String	应用列表转化json字符串
long_connect_time	否	Long	长连接时长
long_connect_time_hour	否	Long	长连接时长小时
long_connect_time_minute	否	Long	长连接时长分钟
long_connect_time_second	否	Long	长连接时长秒
long_connect_enable	是	Integer	是否支持长连接，0表示不支持长连接，1表示支持长连接
description	否	String	描述
direction	否	Integer	方向：0表示外到内，1表示内到外【说明：规则type=0：互联网规则 \| 2：nat规则时方向值必填】
source	是	RuleAddressDtoForRequest object	源地址传输对象
destination	是	RuleAddressDtoForRequest object	目的地址传输对象
service	是	RuleServiceDto object	服务对象
tag	否	TagsVO object	标签显示值

表6 OrderRuleAclDto
参数	是否必选	参数类型	描述
dest_rule_id	否	String	目标规则id，添加规则位于此规则之后，非置顶时不能为空，置顶时为空
top	否	Integer	是否置顶，0代表非置顶，1代表置顶
bottom	否	Integer	是否置底，0代表非置底，1代表置底

表7 RuleAddressDtoForRequest
参数	是否必选	参数类型	描述
type	是	Integer	类型0手工输入,1关联IP地址组,2域名，3地理位置，4域名组，5多对象，6域名组-DNS解析，7域名组-URL过滤。
address_type	否	Integer	地址类型0 ipv4,1 ipv6
address	否	String	源IP，手动类型不能为空，自动及domain类型为空
address_set_id	否	String	关联IP地址组ID，自动类型不能为空，手动类型domain类型为空
address_set_name	否	String	地址组名称
domain_address_name	否	String	域名地址名称，域名类型时不能为空，手动类型及自动类型时为空
region_list_json	否	String	规则region列表json值
region_list	否	Array of IpRegionDto objects	规则region列表
domain_set_id	否	String	域名组id
domain_set_name	否	String	域名组名称
ip_address	否	Array of strings	IP地址列表
address_set_type	否	Integer	地址组类型，0表示自定义地址组，1表示WAF回源IP地址组，2表示DDoS回源IP地址组，3表示NAT64转换地址组
predefined_group	否	Array of strings	预定义地址组列表
address_group	否	Array of strings	地址组列表

表8 IpRegionDto
参数	是否必选	参数类型	描述
region_id	否	String	区域id
description_cn	否	String	中文描述
description_en	否	String	英文描述
region_type	否	Integer	区域类型，0表示国家，1表示省份，2表示大洲

表9 RuleServiceDto
参数	是否必选	参数类型	描述
type	是	Integer	服务输入类型，0为手动输入类型，1为自动输入类型
protocol	否	Integer	协议类型:TCP为6, UDP为17,ICMP为1,ICMPV6为58,ANY为-1,手动类型不为空，自动类型为空
protocols	否	Array of integers	协议列表，协议类型:TCP为6, UDP为17,ICMP为1,ICMPV6为58,ANY为-1,手动类型不为空，自动类型为空
source_port	否	String	源端口
dest_port	否	String	目的端口
service_set_id	否	String	服务组id，手动类型为空，自动类型为非空
service_set_name	否	String	服务组名称
custom_service	否	Array of ServiceItem objects	自定义服务
predefined_group	否	Array of strings	预定义服务组列表
service_group	否	Array of strings	服务组列表
service_group_names	否	Array of ServiceGroupVO objects	服务组名称列表
service_set_type	否	Integer	服务组类型，0表示自定义服务组，1表示常用WEB服务，2表示常用远程登录和PING，3表示常用数据库

**表10** ServiceItem
参数	是否必选	参数类型	描述
protocol	否	Integer	协议类型:TCP为6, UDP为17,ICMP为1,ICMPV6为58,ANY为-1,手动类型不为空，自动类型为空
source_port	否	String	源端口
dest_port	否	String	目的端口
description	否	String	服务成员描述
name	否	String	服务成员名称

**表11** ServiceGroupVO
参数	是否必选	参数类型	描述
name	否	String	服务组名称
protocols	否	Array of integers	协议列表
service_set_type	否	Integer	服务组类型，0表示自定义服务组，1表示常用WEB服务，2表示常用远程登录和PING，3表示常用数据库
set_id	否	String	服务组ID

**表12** TagsVO
参数	是否必选	参数类型	描述
tag_id	否	String	标签id
tag_key	否	String	标签键
tag_value	否	String	标签值

响应参数

状态码： 200

**表13** 响应Body参数
参数	参数类型	描述
data	RuleIdList object	规则id列表

**表14** RuleIdList
参数	参数类型	描述
rules	Array of RuleId objects	规则id列表

**表15** RuleId
参数	参数类型	描述
id	String	id
name	String	名称

状态码： 400

**表16** 响应Body参数
参数	参数类型	描述
data	data object	响应体
trace_id	String	trace id

**表17** data
参数	参数类型	描述
id	String	标识ID

请求示例

示例为添加一个IPv4类型的外到内的规则，名称为测试规则，源类型为IP地址，地址为1.1.1.1，目的类型为IP地址，目的地址类型为2.2.2.2，服务类型为服务，协议类型为TCP，源端口为0，目的端口为0，不支持长连接，动作为放行，启用状态为启用

https://{Endpoint}/v1/9d80d070b6d44942af73c9c3d38e0429/acl-rule

{
  "object_id" : "ae42418e-f077-41a0-9d3b-5b2f5ad9102b",
  "rules" : [ {
    "name" : "测试规则",
    "status" : 1,
    "action_type" : 0,
    "description" : "",
    "source" : {
      "type" : 0,
      "address" : "1.1.1.1"
    },
    "destination" : {
      "type" : 0,
      "address" : "2.2.2.2"
    },
    "service" : {
      "type" : 0,
      "protocol" : 6,
      "source_port" : "0",
      "dest_port" : "0"
    },
    "address_type" : 0,
    "tag" : { },
    "long_connect_enable" : 0,
    "direction" : 0,
    "sequence" : {
      "top" : 1,
      "dest_rule_id" : null
    }
  } ],
  "type" : 0
}

响应示例

状态码： 200

添加acl响应

{
  "data" : {
    "rules" : [ {
      "id" : "0475c516-0e41-4caf-990b-0c504eebd73f",
      "name" : "testName"
    } ]
  }
}

状态码： 400

Bad Request

{
  "error_code" : "CFW.00900016",
  "error_msg" : "导入任务进行中，请任务结束后再操作"
}

状态码

状态码	描述
200	添加acl响应
400	Bad Request
401	Unauthorized
403	Forbidden
404	Not Found
500	Internal Server Error

错误码

请参见错误码。

父主题： ACL规则管理

上一篇：ACL规则管理

下一篇：删除ACL规则

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消