文档首页/ 云防火墙 CFW/ 用户指南(安卡拉区域)/ 访问控制/ 配置访问控制策略/ 通过防护规则拦截/放行流量
更新时间:2025-12-01 GMT+08:00
查看PDF
分享

通过防护规则拦截/放行流量

开启防护后,云防火墙默认放行所有流量,您可以配置防护规则,实现流量的拦截/放行。

防护规则说明

防护规则的防护对象、防护动作,以及防护场景说明如下:

名称

说明

支持的防护对象
  • 五元组
  • IP地址组
  • 地理位置(地域)
  • 域名和域名组(四层和七层流量)
  • 应用

网络类型
  • 公网IP
  • 私网IP

防护后的动作
  • 设置为“阻断”:流量直接拦截。
  • 设置为“放行”:流量被“防护规则”功能放行后,再经过入侵防御(IPS)功能检测。

防护场景
防护规则支持防护以下几种场景:
注意:
如果IP为Web应用防火墙(WAF)的回源IP,建议配置放行的防护规则或白名单,请谨慎配置阻断的防护规则,否则可能会影响您的业务。

规格限制

“专业版”支持VPC边界防护和NAT流量(私网IP)防护。

约束条件

  • CFW不支持应用层网关(Application Level Gateway,ALG)。如果有ALG相关业务(例如SIP,FTP),建议增加一条放通数据通道所有端口的规则。
  • CFW长连接业务场景限制,配置策略的时候需要同时开启双向放通的安全策略,如果只开启单向策略,部分场景(开启和关闭防护)需要客户端重新发起连接。
  • 配额限制:
    • 最多添加20,000条防护规则。
    • 单条防护规则最大限制如下:
      • 最多添加20个“IP地址”(源和目的各20个)。
      • 最多关联2个“IP地址组”(源和目的各2个)。
      • 最多关联5个服务组。
  • 域名防护限制:
    • 域名防护时不支持添加中文域名格式。
    • 应用型域名引用数量限制如下:
      • 每个防火墙实例中最多引用60,000个域名。
      • 每个防火墙实例最多引用1,000个泛域名。
      • 每条防护规则最多引用20,000个域名。
      • 每条防护规则最多引用128个泛域名。

      计算方式:规则A和规则B中均引用了域名1和域名组A(包含域名2和域名3),则规则A/B引用的域名数量为3个,该防火墙实例中引用的域名数量为6个。

    • 域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全,建议有访问自身业务相关域名场景时配置自定义域名服务器
  • 地域限制:对于源或目的选择为地域(地理位置)的防护规则,仅对防护对象为IPv4的地址生效。
  • 仅入方向规则(“方向”配置为“外-内”)的“源”地址支持配置“预定义地址组”

对业务的影响

配置拦截的防护规则时,如果涉及地址转换或者存在代理的场景,需要谨慎评估拦截IP的影响。

互联网边界防护规则

  1. 开启弹性公网IP防护,请参见开启互联网边界流量防护
  2. 在左侧导航栏中,选择访问控制 > 访问策略管理,进入“访问策略管理”页面。
  3. 添加新的防护规则。

    “互联网边界”页签中,单击“添加”,在弹出的“添加防护规则”中,填写新的防护信息,填写规则请参见表1
    表1 添加防护规则-互联网边界

    参数名称

    参数说明

    规则类型
    选择安全策略的防护类型。
    • EIP规则:防护EIP的流量,仅支持配置公网IP。
    • NAT规则:防护NAT的流量,可以配置私网IP。

    名称

    自定义安全策略规则的名称。

    方向
    “防护规则”选择EIP规则时,需要选择流量的方向:
    • 外-内:互联网访问云上资产(EIP)。
    • 内-外:云上资产(EIP)访问互联网。

    设置会话发起方。
    • IP地址:填写公网IP地址,支持设置单个IP地址、多个连续IP地址、地址段。
      • 单个公网IP地址,如:xx.xx.10.5
      • 多个连续的公网IP地址,中间使用“-”隔开,如:xx.xx.0.2-xx.xx.0.10
      • 公网IP地址段,使用"/"隔开掩码,如:xx.xx.2.0/24
    • IP地址组:支持多个公网IP地址的集合。

      “方向”配置为“外-内”时,“源”地址支持配置“预定义地址组”

      添加自定义IP地址组请参见添加自定义地址组,预定义地址组请参见查看预定义地址组

    • 地域:“方向”选择“外-内”时,支持地理位置防护,通过指定大洲、国家、地区配置防护规则。
    • Any:任意源地址。

    目的
    设置会话接收方。
    • IP地址:填写公网IP地址,支持设置单个IP地址、多个连续IP地址、地址段。
      • 单个公网IP地址,如:xx.xx.10.5
      • 多个连续的公网IP地址,中间使用“-”隔开,如:xx.xx.0.2-xx.xx.0.10
      • 公网IP地址段,使用"/"隔开掩码,如:xx.xx.2.0/24
    • IP地址组:支持多个公网IP地址的集合。

      添加自定义IP地址组请参见添加自定义地址组

    • 地域:“方向”选择“内-外”时,支持地理位置防护,通过指定大洲、国家、地区配置防护规则。
    • 域名/域名组:“方向”选择“内-外”时,支持域名或域名组的防护。
      • 应用型:支持域名泛域名的防护;适用应用层协议,支持HTTP、HTTPS、TLS、SMTPS、POPS的应用协议类型;通过域名匹配。
      • 网络型:支持单个域名多个域名的防护;适用网络层协议,支持所有协议类型;通过解析到的IP过滤。
      说明:
      • 防护HTTP、HTTPS、TLS、SMTPS、POPS应用类型的域名时可选择任意类型。
      • 防护HTTP、HTTPS、TLS、SMTPS、POPS应用类型的泛域名(例如:*.example.com)时仅支持选择“应用型”的任意选项。
      • 防护其它应用类型(如FTP、MySQL、SMTP)的单个域名:选择“网络型”的任意选项(选择“域名”时,解析出的IP地址上限个数为600个)。
      • 防护其它应用类型(如FTP、MySQL、SMTP)的多个域名:选择“网络型”“网络域名组”
      • 同一域名同时需要配置HTTP/HTTPS/TLS/SMTPS/POPS(泛域名/应用型域名组)和其它应用类型(网络型域名组)时,“网络型”的防护规则“优先级”需高于“应用型”
      • 应用型与网络型详细介绍请参见添加域名组
    • Any:任意目的地址。

    服务
    • 服务:设置协议类型、源端口和目的端口。
      • 协议:支持选择TCP、UDP、ICMP。
      • 源/目的端口:“协议”选择“TCP”“UDP”时,需要设置端口号。
        • 如您需设置该IP地址的全部端口,可配置“端口”“1-65535”
        • 如您需设置某个端口,可填写为单个端口。例如设置22端口的访问,则配置“端口”“22”
        • 如您需设置某个范围的端口,可填写为连续端口组,中间使用“-”隔开。例如设置80-443端口的访问,则配置“端口”“80-443”
    • 服务组:支持多个服务(协议、源端口、目的端口)的集合。

      添加自定义服务组请参见添加自定义服务组,预定义服务组请参见查看预定义服务组

    • Any:任意协议类型和端口号。

    动作

    设置流量经过防火墙时的处理动作。

    • 放行:防火墙允许此流量转发。
    • 阻断:防火墙禁止此流量转发。

    配置长连接

    当前防护规则仅配置一个“服务”“协议”选择“TCP”“UDP”时,可配置业务会话老化时间(以秒为单位)。

    最大支持50条规则设置长连接。
    • 是:设置长连接时长。
    • 否:保留默认时长,各协议规则默认支持的连接时长如下:
      • TCP协议:1800s。
      • UDP协议:60s。

    长连接时长

    “配置长连接”选择“是”时,需要配置此参数。

    设置长连接时长。输入“时”“分”“秒”。支持时长设置为1秒~1000天。

    标签

    (可选)用于标识规则,可通过标签实现对安全策略的分类和搜索。

    策略优先级

    设置该策略的优先级:

    • 置顶:表示将该策略的优先级设置为最高。
    • 移动至选中规则后:表示将该策略优先级设置到某一规则后。

    设置后,优先级数字越小,策略的优先级越高。

    添加的第一条防护规则默认优先级是1,无需选择“策略优先级”

    启用状态

    设置该策略是否立即启用。

    :表示立即启用,规则生效。

    :表示立即关闭,规则不生效。

    描述

    (可选)标识该规则的使用场景和用途,以便后续运维时快速区分不同规则的作用。

  4. 单击“确认”,完成配置防护规则。

    防护规则配置完成并处于启用状态时,会立即生效。

VPC边界防护规则

  1. 开启VPC边界防火墙防护,请参见开启VPC边界流量防护
  2. 在左侧导航栏中,选择访问控制 > 访问策略管理,选择“VPC边界”页签,进入VPC边界管理页面。
  1. 添加新的防护规则。

    单击“添加”按钮,在弹出的“添加防护规则”中,填写新的防护信息,填写规则请参见表2
    表2 添加防护规则-VPC边界

    参数名称

    参数说明

    名称

    自定义安全策略规则的名称。

    方向

    无需选择,VPC间防护规则。

    设置会话发起方。
    • IP地址:支持设置单个IP地址、多个连续IP地址、地址段。
      • 单个IP地址,如:192.168.10.5
      • 多个连续IP地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
      • 地址段,使用"/"隔开掩码,如:192.168.2.0/24
    • IP地址组:支持多个IP地址的集合,添加IP地址组请参见添加IP地址组
    • Any:任意源地址。

    目的
    设置会话接收方。
    • IP地址:支持设置单个IP地址、多个连续IP地址、地址段。
      • 单个IP地址,如:192.168.10.5
      • 多个连续IP地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
      • 地址段,使用"/"隔开掩码,如:192.168.2.0/24
    • IP地址组:支持多个IP地址的集合,添加IP地址组请参见添加IP地址组
    • Any:任意目的地址。

    服务
    设置访问流量的“协议”“端口号”
    • 服务:设置协议类型、源端口和目的端口。
      • 协议:支持选择TCP、UDP、ICMP。
      • 源/目的端口:“协议”选择“TCP”“UDP”时,需要设置端口号。
        • 如您需设置该IP地址的全部端口,可配置“端口”“1-65535”
        • 如您需设置某个端口,可填写为单个端口。例如设置22端口的访问,则配置“端口”“22”
        • 如您需设置某个范围的端口,可填写为连续端口组,中间使用“-”隔开。例如设置80-443端口的访问,则配置“端口”“80-443”
    • 服务组:支持多个服务(协议、源端口、目的端口)的集合。

      添加自定义服务组请参见添加服务组,预定义服务组请参见查看预定义服务组

    • Any:任意协议类型和端口号。

    动作

    设置流量经过防火墙时的处理动作。

    • 放行:防火墙允许此流量转发。
    • 阻断:防火墙禁止此流量转发。

    配置长连接

    当前防护规则仅配置一个“服务”“协议”选择“TCP”“UDP”时,可配置业务会话老化时间(以秒为单位)。

    最大支持50条规则设置长连接。
    • 是:设置长连接时长。
    • 否:保留默认时长,各协议规则默认支持的连接时长如下:
      • TCP协议:1800s。
      • UDP协议:60s。

    长连接时长

    “配置长连接”选择“是”时,需要配置此参数。

    设置长连接时长。输入“时”“分”“秒”。支持时长设置为1秒~1000天。

    标签

    (可选)用于标识规则,可通过标签实现对安全策略的分类和搜索。

    策略优先级

    设置该策略的优先级:

    • 置顶:表示将该策略的优先级设置为最高。
    • 移动至选中规则后:表示将该策略优先级设置到某一规则后。

    设置后,优先级数字越小,策略的优先级越高。

    添加的第一条防护规则默认优先级是1,无需选择“策略优先级”

    启用状态

    设置该策略是否立即启用。

    :表示立即启用,规则生效;

    :表示立即关闭,规则不生效。

    描述

    (可选)标识该规则的使用场景和用途,以便后续运维时快速区分不同规则的作用。

  2. 单击“确认”,完成配置防护规则。

    防护规则配置完成并处于启用状态时,会立即生效。

NAT流量防护规则

  1. 在左侧导航栏中,选择访问控制 > 访问策略管理,进入“访问策略管理”页面。
  2. 添加新的防护规则。

    单击“添加”,在弹出的“添加防护规则”中,填写新的防护信息。
    表3 添加防护规则-SNAT场景

    参数名称

    参数说明

    规则类型

    选择NAT规则:防护NAT网关的流量,支持配置私网IP。

    说明:
    NAT规则需满足:
    • “专业版”防火墙。
    • 已配置VPC边界防火墙。

    名称

    自定义安全策略规则的名称。

    方向

    选择“SNAT”

    设置会话发起方。
    • IP地址:填写私网IP地址,支持设置单个IP地址、多个连续IP地址、地址段。
      • 单个IP地址,如:192.168.10.5
      • 多个连续IP地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
      • 地址段,使用"/"隔开掩码,如:192.168.2.0/24
    • IP地址组:支持多个私网IP地址的集合。

      添加IP地址组请参见添加自定义地址组

    • Any:任意源地址。

    目的
    设置会话接收方。
    • IP地址:填写公网IP地址,支持设置单个IP地址、多个连续IP地址、地址段。
      • 单个公网IP地址,如:xx.xx.10.5
      • 多个连续的公网IP地址,中间使用“-”隔开,如:xx.xx.0.2-xx.xx.0.10
      • 公网IP地址段,使用"/"隔开掩码,如:xx.xx.2.0/24
    • IP地址组:支持多个公网IP地址的集合。

      “方向”配置为“外-内”时,“源”地址支持配置“预定义地址组”

      添加自定义IP地址组请参见添加自定义地址组,预定义地址组请参见查看预定义地址组

    • 地域:支持地理位置防护,通过指定大洲、国家、地区配置防护规则。
    • 域名/域名组:“方向”选择“内-外”时,支持域名或域名组的防护。
      • 应用型:支持域名泛域名的防护;适用应用层协议,支持HTTP、HTTPS、TLS、SMTPS、POPS的应用协议类型;通过域名匹配。
      • 网络型:支持单个域名多个域名的防护;适用网络层协议,支持所有协议类型;通过解析到的IP过滤。
      说明:
      • 防护HTTP、HTTPS、TLS、SMTPS、POPS应用类型的域名时可选择任意类型。
      • 防护HTTP、HTTPS、TLS、SMTPS、POPS应用类型的泛域名(例如:*.example.com)时仅支持选择“应用型”的任意选项。
      • 防护其它应用类型(如FTP、MySQL、SMTP)的单个域名:选择“网络型”的任意选项(选择“域名”时,解析出的IP地址上限个数为600个)。
      • 同一域名同时需要配置HTTP/HTTPS/TLS/SMTPS/POPS(泛域名/应用型域名组)和其它应用类型(网络型域名组)时,“网络型”的防护规则“优先级”需高于“应用型”
      • 应用型与网络型详细介绍请参见添加域名组
    • Any:任意目的地址。

    服务
    • 服务:设置协议类型、源端口和目的端口。
      • 协议:支持选择TCP、UDP、ICMP。
      • 源/目的端口:“协议”选择“TCP”“UDP”时,需要设置端口号。
        • 如您需设置该IP地址的全部端口,可配置“端口”“1-65535”
        • 如您需设置某个端口,可填写为单个端口。例如设置22端口的访问,则配置“端口”“22”
        • 如您需设置某个范围的端口,可填写为连续端口组,中间使用“-”隔开。例如设置80-443端口的访问,则配置“端口”“80-443”
    • 服务组:支持多个服务(协议、源端口、目的端口)的集合。

      添加自定义服务组请参见添加自定义服务组,预定义服务组请参见查看预定义服务组

    • Any:任意协议类型和端口号。

    动作

    设置流量经过防火墙时的处理动作。

    • 放行:防火墙允许此流量转发。
    • 阻断:防火墙禁止此流量转发。

    配置长连接

    当前防护规则仅配置一个“服务”“协议”选择“TCP”“UDP”时,可配置业务会话老化时间(以秒为单位)。

    最大支持50条规则设置长连接。
    • 是:设置长连接时长。
    • 否:保留默认时长,各协议规则默认支持的连接时长如下:
      • TCP协议:1800s。
      • UDP协议:60s。

    长连接时长

    “配置长连接”选择“是”时,需要配置此参数。

    设置长连接时长。输入“时”“分”“秒”。支持时长设置为1秒~1000天。

    标签

    (可选)用于标识规则,可通过标签实现对安全策略的分类和搜索。

    策略优先级

    设置该策略的优先级:

    • 置顶:表示将该策略的优先级设置为最高。
    • 移动至选中规则后:表示将该策略优先级设置到某一规则后。

    设置后,优先级数字越小,策略的优先级越高。

    添加的第一条防护规则默认优先级是1,无需选择“策略优先级”

    启用状态

    设置该策略是否立即启用。

    :表示立即启用,规则生效。

    :表示立即关闭,规则不生效。

    描述

    (可选)标识该规则的使用场景和用途,以便后续运维时快速区分不同规则的作用。

  3. 单击“确认”,完成配置防护规则。

    防护规则配置完成并处于启用状态时,会立即生效。

查看防护规则的命中情况

您可以等待业务运行一段时间后,在防护规则列表的“命中次数”列查看防护规则的命中情况。

后续操作

查看防护效果:

相关文档