更新时间:2024-12-18 GMT+08:00

导入/导出防护策略

如果您需批量添加和导出防护规则、黑/白名单、IP地址组,服务组、域名组,请参照本章节进行处理。

规格限制

如果业务需要导入/导出VPC边界防护策略,请确认防火墙版本是“专业版”

批量导入防护策略

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  5. 在左侧导航栏中,选择访问控制 > 访问策略管理,进入“访问策略管理”页面。
  6. 单击页面右上方“下载中心”,右侧弹出“下载中心”页面。
  7. 单击“下载模板”,下载导入规则模板到本地。
  8. 请按表格要求填写您要添加的防护策略信息。

  9. 表格填写完成后,单击“导入规则”,导入防护规则表。

    • 导入规则操作将在数分钟内完成。
    • 导入规则过程中访问策略、IP地址组、服务组均不支持添加、编辑和删除操作。
    • 导入后的策略优先级低于已创建的策略。

  10. 单击“下载中心”,查看导入规则任务状态,任务状态显示“导入成功”表示导入防护规则成功。
  11. 返回防护规则列表查看导入的防护规则。

批量导出防护策略

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  5. 在左侧导航栏中,选择访问控制 > 访问策略管理,进入“访问策略管理”页面。
  6. 单击页面右上方“下载中心”,右侧弹出“下载中心”页面。
  7. 单击“导出规则”,导出规则到本地。
表1 互联网边界防护规则表参数说明

参数名称

参数说明

取值样例

顺序

定义规则序号。

1

规则名称

自定义规则名称。

只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成,且名称长度不能超过255个字符。

test

防护规则

选择安全策略的防护类型。
  • EIP防护: 防护EIP的流量,仅支持配置公网IP。
  • NAT防护: 防护NAT的流量,可以配置私网IP。

EIP防护

方向

选择防护方向:

  • 外-内:外网访问内部服务器。
  • 内-外:客户服务器访问外网。

内到外

动作

选择“放行”或者“阻断”。设置防火墙对通过流量的处理动作。

放行

规则地址类型

选择“IPv4”。设置防护的IP类型。

IPv4

启用状态

选择该策略是否立即启用。

  • 启用:表示立即开启,规则生效;
  • 禁用:表示关闭,规则不生效。

启用

描述

自定义规则描述。

test

源地址类型

设置访问流量中发送数据的地址类型。

  • IP地址:支持设置单个IP地址、连续多个IP地址、地址段。
  • IP地址组:支持多个IP地址的集合。
  • 地域:支持按照地域防护。

IP地址

源IP地址

“源地址类型”选择“IP地址”时,需填写“源IP地址”

支持以下输入格式:

  • 单个IP地址,如:192.168.10.5
  • 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
  • 地址段,使用“/”隔开掩码,如:192.168.2.0/24
说明:

如果您希望输入多个单IP地址或多个IP地址段,需要配置多条规则。这些规则的IP地址(段)不同,其他参数相同。

192.168.10.5

源地址组名称

“源地址类型”选择“IP地址组”时,需填写“源地址组名称”

支持以下输入格式;
  • 可输入中文、字母、数字、下划线、连接符或空格。
  • 名称长度不能超过255个字符。

s_test

源大洲地域

“源地址类型”选择“地域”时,需填写“源大洲地域”

您可以切换模板表格至“大洲信息表”页签,查看大洲信息。

AS:亚洲

源国家地域

“源地址类型”选择“地域”时,需填写“源国家地域”

您可以切换模板表格至“国家信息表”页签,查看国家信息。

CN:中国大陆

目的地址类型

选择访问流量中的接收数据的地址类型。
  • IP地址:支持设置单个IP地址、连续多个IP地址、地址段。
  • IP地址组:支持多个IP地址的集合。
  • 域名:由一串用点分隔的英文字母组成(以字符串的形式来表示服务器IP),用户通过域名来访问网站。
  • 域名组:支持多个域名的集合。
  • 地域:支持地域防护。

IP地址组

目的IP地址

“目的地址类型”选择“IP地址”时,需填写“目的IP地址”

目的IP地址支持以下输入格式:

  • 单个IP地址,如:192.168.10.5
  • 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
  • 地址段,使用“/”隔开掩码,如:192.168.2.0/24
说明:

如果您希望输入多个单IP地址或多个IP地址段,需要配置多条规则。这些规则的IP地址(段)不同,其他参数相同。

192.168.10.6

目的地址组名称

“目的地址类型”选择“IP地址组”时,需填写“目的地址组名称”

支持以下输入格式;
  • 可输入中文、字母、数字、下划线、连接符或空格。
  • 名称长度不能超过255个字符。

d_test

目的大洲地域

“目的地址类型”选择“地域”时,需填写“目的大洲地域”

您可以切换模板表格至“大洲信息表”页签,查看大洲信息。

AS:亚洲

目的国家地域

“目的地址类型”选择“地域”时,需填写“目的国家地域”

您可以切换模板表格至“国家信息表”页签,查看国家信息。

CN:中国大陆

域名

“目的地址类型”选择“域名”时,需填写“域名”

由一串用点分隔的英文字母组成(以字符串的形式来表示服务器IP),用户通过域名来访问网站。

www.example.com

目的域名组名称

“目的地址类型”选择“域名组”时,需填写“目的域名组名称”

输入域名组名称。

域名组1

服务类型

选择服务服务组。

  • 服务:支持设置单个服务。
  • 服务组:支持多个服务的集合。

服务

协议/源端口/目的端口

设置需要限制的类型。

  • 协议类型当前支持:TCP、UDP、ICMP、Any。
  • 设置需要开放或限制的源端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443
  • 设置需要开放或限制的目的端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443

TCP/443/443

服务组名称

自定义服务组名称。

只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成,且名称长度不能超过255个字符。

service_test

应用列表

设置应用类型,例如HTTP、HTTPS、DNS、RDP等。

HTTP

分组标签

用于标识规则,可通过标签实现对安全策略的分类和搜索。

k=a

表2 VPC边界防护规则表参数说明

参数名称

参数说明

取值样例

顺序

定义规则序号。

1

规则名称

自定义规则名称。

只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成,且名称长度不能超过255个字符。

test

动作

选择“放行”或者“阻断”。设置防火墙对通过流量的处理动作。

放行

启用状态

选择该策略是否立即启用。

  • 启用:表示启用,规则生效;
  • 禁用:表示关闭,规则不生效。

启用

描述

自定义规则描述。

test

源地址类型

设置访问流量中发送数据的地址类型。

  • IP地址:支持设置单个IP地址、连续多个IP地址、地址段。
  • IP地址组:支持多个IP地址的集合。

IP地址

源IP地址

“源地址类型”选择“IP地址”时,需填写“源IP地址”

支持以下输入格式:

  • 单个IP地址,如:192.168.10.5
  • 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
  • 地址段,使用“/”隔开掩码,如:192.168.2.0/24
说明:

如果您希望输入多个单IP地址或多个IP地址段,需要配置多条规则。这些规则的IP地址(段)不同,其他参数相同。

192.168.10.5

源地址组名称

“源地址类型”选择“IP地址组”时,需填写“源地址组名称”

支持以下输入格式;
  • 可输入中文、字母、数字、下划线、连接符或空格。
  • 名称长度不能超过255个字符。

s_test

目的地址类型

选择访问流量中的接收数据的地址类型。
  • IP地址:支持设置单个IP地址、连续多个IP地址、地址段。
  • IP地址组:支持多个IP地址的集合。

IP地址组

目的IP地址

“目的地址类型”选择“IP地址”时,需填写“目的IP地址”

目的IP地址支持以下输入格式:

  • 单个IP地址,如:192.168.10.5
  • 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
  • 地址段,使用“/”隔开掩码,如:192.168.2.0/24
说明:

如果您希望输入多个单IP地址或多个IP地址段,需要配置多条规则。这些规则的IP地址(段)不同,其他参数相同。

192.168.10.6

目的地址组名称

“目的地址类型”选择“IP地址组”时,需填写“目的地址组名称”

支持以下输入格式;
  • 可输入中文、字母、数字、下划线、连接符或空格。
  • 名称长度不能超过255个字符。

d_test

服务类型

选择服务服务组。

  • 服务:支持设置单个服务。
  • 服务组:支持多个服务的集合。

服务

协议/源端口/目的端口

设置需要限制的类型。

  • 协议类型当前支持:TCP、UDP、ICMP、Any。
  • 设置需要开放或限制的源端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443
  • 设置需要开放或限制的目的端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443

TCP/443/443

服务组名称

自定义服务组名称。

只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成,且名称长度不能超过255个字符。

service_test

应用列表

设置应用类型,例如HTTP、HTTPS、DNS、RDP等。

HTTP

分组标签

用于标识规则,可通过标签实现对安全策略的分类和搜索。

k=a