更新时间:2025-06-27 GMT+08:00
开启互联网边界流量防护
云防火墙通过对弹性公网IP(EIP)的防护实现互联网边界流量的防护,开启EIP防护后,您的业务流量将经过云防火墙,默认情况下,所有流量都会被放行。
开启防护后,您可以根据业务需求,配置访问控制策略或IPS防护模式,云防火墙会根据配置,检测流量实施拦截/放行操作,配置访问控制策略请参见添加防护规则,IPS相关请参见配置入侵防御策略。
什么是互联网边界流量
互联网边界流量是云资产与互联网之间的通信流量(即南北向流量),分为入云流量(互联网访问云资产)和出云流量(云资产主动访问互联网)。
图1 互联网边界流量防护
互联网边界流量防护介绍视频
支持的防护对象
绑定了弹性公网IP(EIP)的资源,例如弹性云服务器(ECS)、NAT网关(NAT)、弹性负载均衡(ELB)等。
防护规格
互联网边界的防护规格分为防护公网IP数和互联网边界防护带宽。
约束条件
- 弹性公网IP防护目前不支持IPv6防护。
- 一个EIP只能在一个防火墙上开启防护。
- 单个防火墙实例默认支持防护的EIP个数如下:
- 包年/包月防火墙:
- 标准版:20个
- 专业版:50个
您可购买扩展包增加防护个数,最多增加至2000个。购买扩展包的操作方式请参见变更云防火墙扩展包数量。
- 按需计费防火墙(专业版):1000个,不支持增加防护个数。
- 包年/包月防火墙:
对业务的影响
开启互联网边界流量防护
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域。 - 在左侧导航栏中,单击左上方的
,选择,进入云防火墙的总览页面。 - (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择,进入“弹性公网IP管理”页面,弹性公网IP信息将自动更新至列表中。
- 开启弹性公网IP。
弹性公网IP防护目前不支持IPv6防护;一个EIP只能在一个防火墙上开启防护。
- 开启单个弹性公网IP:在所在行的列中,单击“开启防护”。
- 开启多个弹性公网IP:勾选需要开启防护的弹性公网IP,单击列表上方的“开启防护”。
- 在弹出的界面确认信息无误后,单击“绑定并开启防护”,可查看操作行的“防护状态”列显示“防护中”。
EIP开启防护后,访问控制策略默认动作为“放行”。
新增EIP自动防护
开启新增EIP自动防护后,CFW会在整点自动同步EIP资源并对新增的EIP开启防护,EIP流量将被防火墙防护。
开启方式:进入“弹性公网IP管理”页面,在列表上方开启“新增EIP自动防护”开关。
后续操作
- 查看经过云防火墙的流量趋势和统计结果,请参见流量分析,详细流量记录请参见流量日志。
- 开启防护后,流量默认放行,云防火墙将根据您设置的策略实施拦截:
- 如果希望实现流量管控,需配置防护策略,请参见通过防护规则拦截/放行互联网边界流量或通过黑白名单拦截/放行流量。
- 通过防护规则放行/拦截流量:
- 添加放行的防护规则:放行后的流量会经过入侵防御IPS、病毒防御等功能的检测。
- 添加拦截的防护规则:流量将直接拦截。
- 通过黑白名单放行/拦截流量:
- 添加白名单:流量将直接放行,不再经过其他功能的检测。
- 添加黑名单:流量将直接拦截。
- 通过防护规则放行/拦截流量:
- 如果希望拦截网络攻击,请参见配置入侵防御。
- 如果希望实现流量管控,需配置防护策略,请参见通过防护规则拦截/放行互联网边界流量或通过黑白名单拦截/放行流量。
相关操作
- 关闭弹性公网IP防护:
关闭弹性公网IP(EIP)防护后,CFW将不再防护该EIP的流量,可能会导致该EIP遭受恶意攻击,请谨慎操作。
- 关闭单个弹性公网IP。在所在行的列中,单击“关闭防护”。
- 关闭多个弹性公网IP。勾选需要开启防护的弹性公网IP,单击表格上方的“关闭防护”。
- 导出弹性公网IP列表信息:在列表上方,单击“导出”,根据数据范围选择选项。
- 如果需要防护其他账号下的EIP,请参见多账号防护。
- 一键关闭当前防火墙对EIP的防护:单击列表右上方的“一键逃生”,弹框展示当前防火墙中开启防护的所有EIP,单击“确认”。
- 需要恢复EIP防护时,单击页面上方提示信息中的“一键恢复”。
- 逃生/恢复进行时无法开启和关闭EIP,成功后即可正常操作。
