文档首页/ 云防火墙 CFW/ 用户指南/ 访问控制/ 管理对象组/ 管理IP地址组
更新时间:2025-12-17 GMT+08:00
查看PDF
分享

管理IP地址组

操作场景

IP地址组是多个IP地址的集合。通过在访问规则中一键引用IP地址组,即可实现对特定对象群体的统一流量管控。此外,当IP地址组更新时会自动同步至所有关联策略,无需手动调整。这不仅能提升策略调整响应速度,还可以降低重复配置工作量,实现运维效率的全面提升。

约束与限制

  • 添加自定义IP地址组和IP地址:
    • 每个防火墙实例下最多添加3,800个IP地址组。
    • 每个IP地址组中最多添加640个IP地址成员,且单次最多可添加100个IP地址成员。
    • 每个防火墙实例下最多添加30,000个IP地址。
  • 预定义地址组仅支持查看,不支持添加、修改、删除操作。
  • 被防护规则引用的地址组不支持删除,需优先调整/删除对应规则。

添加自定义地址组

  1. 登录CFW控制台
  2. 单击管理控制台左上角的,选择区域。
  3. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  4. 在左侧导航栏中,选择访问控制 > 对象组管理,进入“对象组管理”界面。
  5. “IP地址组”页签的自定义地址组页面中,单击“添加IP地址组”,弹出添加IP地址组界面,填写IP地址组信息。

    表1 添加IP地址组的参数说明

    参数

    说明

    地址组类型

    选择地址组类型,支持“IPv4”“IPv6”

    说明:

    仅专业版支持选择IPv6,标准版默认防护IPv4。

    IP地址组名称

    需要添加的IP地址组名称。

    命名规则如下:
    • 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_)。
    • 长度不超过255字符。

    IP地址列表

    添加需要管理的IP地址,单击“解析”至IP地址列表中。

    输入规则如下:
    • 单个IP地址,如:192.168.10.5。
    • 地址段,使用"/"隔开掩码,如:192.168.2.0/24。
    • 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10。
    • 支持多个IP地址,使用半角逗号(,)、半角分号(;)、换行符、制表符或空格隔开,如192.168.1.0,192.168.1.0/24。

    描述

    标识该IP组的使用场景和用途,以便后续运维时快速区分不同的IP组。

    命名规则如下:
    • 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)、空格和特殊字符(-_)。
    • 长度不超过255字符。

  6. 确认无误后,单击“确定”,完成添加IP地址组。

添加自定义地址组中IP地址

  1. 登录CFW控制台
  2. 单击管理控制台左上角的,选择区域。
  3. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  4. 在左侧导航栏中,选择访问控制 > 对象组管理,进入“对象组管理”界面。
  5. “IP地址组”页签的自定义地址组页面中,单击目标IP地址组名称,弹出“IP地址组详情”界面。
  6. 单击“添加IP地址”,弹出“添加IP地址”界面,添加IP地址。

    • 批量添加IP地址:在输入框中添加需要管理的IP地址,单击“解析”至IP地址列表中。
      输入规则如下:
      • 单个IP地址,如:192.168.10.5。
      • 地址段,使用"/"隔开掩码,如:192.168.2.0/24。
      • 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10。
      • 支持多个IP地址,使用半角逗号(,)、半角分号(;)、换行符、制表符或空格隔开,如192.168.1.0,192.168.1.0/24。
    • 添加单个IP地址:在IP地址列表上方单击“添加”,输入“IP地址”“描述”信息。

  7. 确认信息无误后,单击“确认”,完成添加IP地址。

查看预定义地址组

云防火墙为您提供预定义地址组,包括NAT64转换地址组、WAF回源IP地址组和管理区公网IP地址组,三个地址组均建议您配置放行的策略。

  • NAT64转换地址组:提供转换后的IP地址;开启弹性公网IP(EIP)服务的IPv6转换功能后,云防火墙接收到对应IPv6流量的源IP地址会被转换为当前地址组中的IP。IPv6转换功能请参见IPv6转换

    如果您开启了弹性公网IP(EIP)服务的IPv6转换功能,建议放行NAT64转换地址组。

  • WAF回源IP地址组:提供Web应用防火墙(WAF)服务云模式的回源IP地址,回源IP的相关信息请参见什么是回源IP?
    • 引用至防护规则,如果回源IP改变,无需手动修改,防火墙每天自动更新地址组中的IP地址。
    • 添加至黑/白名单,如果回源IP改变,您需手动修改对应黑/白名单中的IP地址。
  • 管理区公网IP地址组:提供华为云管理面公网IP地址段,用于放行业务访问管理区时的流量(例如访问对象存储服务 OBS域名、访问API网关 APIG等场景)。

    该地址组仅部分地区支持配置:亚太-曼谷、亚太-新加坡、华东-上海一、土耳其-伊斯坦布尔、非洲-约翰内斯堡、拉美-圣保罗一。

  1. 登录CFW控制台
  2. 单击管理控制台左上角的,选择区域。
  3. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  4. 在左侧导航栏中,选择访问控制 > 对象组管理,进入“对象组管理”界面。
  5. “IP地址组”页签中,选择“预定义地址组”页签,单击目标地址组的名称,进入详细信息页面。
  6. 查看预定义地址组的名称、类型、已添加的IP地址等信息。

删除自定义IP地址组

删除IP地址组后无法恢复,请谨慎操作。

  1. 登录CFW控制台
  2. 单击管理控制台左上角的,选择区域。
  3. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  4. 在左侧导航栏中,选择访问控制 > 对象组管理,进入“对象组管理”界面。
  5. 删除自定义IP地址组。

    • 删除单个自定义IP地址组
      1. 在IP地址组页签的自定义地址组页面中,单击目标IP地址组所在行“操作”列的“删除”
      2. 在弹出的确认框中,确认信息无误后,输入“DELETE”,单击“确定”
    • 批量删除自定义IP地址组
      1. 在IP地址组页签的自定义地址组页面的IP地址组表格中,批量勾选IP地址组后,单击列表上方的“删除”
      2. 在弹出的确认框中,确认信息无误后,输入“DELETE”,单击“确定”

相关操作

  • 导出IP地址组:单击列表上方的“导出”,选择需要的数据范围。
  • 批量删除IP地址:在“IP地址组详情”界面,批量勾选IP地址后,单击列表上方的“删除”,确认无误后单击“确定”
父主题: 管理对象组