示例三:放行业务访问某平台的流量
本文提供放行业务访问某平台的流量的配置示例,更多参数配置请参见通过防护规则拦截/放行互联网边界流量。
域名组类型
CFW提供应用域名组(七层协议解析)和网络域名组(四层协议解析)两种类型,两类域名组的差异如表1所示。
|
- |
应用域名组(七层协议解析) |
网络域名组(四层协议解析) |
|---|---|---|
|
防护对象 |
|
|
|
协议类型 |
应用层协议,支持HTTP、HTTPS、TLS、SMTPS、POPS的应用协议类型。 |
网络层协议,支持所有协议类型。 |
|
匹配规则 |
基于域名匹配;将会话中的HOST字段与应用型域名进行比对,如果一致,则命中对应的防护规则。 |
基于解析到的IP地址过滤。 在后台获取DNS服务器解析出的IP地址(每15s获取一次),当会话的四元组与网络型域名相关规则匹配、且本次访问解析到的地址在此前保存的结果中(已从DNS服务器解析中获取到IP地址),则命中对应的防护规则。 |
|
配置建议 |
映射地址量大或映射结果变化快的域名建议优先使用应用域名组(如被内容分发网络(CDN)加速的域名)。 |
|
放行业务访问某平台的流量
- 将平台域名添加至应用型域名组,配置示例如下:
图1 添加某平台域名组
表2 添加某平台域名组 参数
示例
说明
域名组类型
应用型
选择域名组类型。
域名组名称
某平台
自定义域名组名称。
域名
cfw-test.com
*.example.com
输入域名或泛域名。多个域名以英文逗号、换行、分号或空格相隔。
描述
放行业务访问某平台的流量
自定义当前域名组的内容和使用场景,用于标识并应用域名组。
- 配置两条防护规则:
- 一条拦截所有流量,优先级置于最低,配置示例如下:
图2 拦截所有流量
表3 拦截所有流量 参数
示例
说明
方向
内-外
防护的流量的方向。
源
Any
网络流量的发起方。
目的
Any
网络流量的接收方。
服务
Any
网络流量的协议、源端口、目的端口。
应用
Any
针对应用层协议的防护策略。
动作
阻断
流量经过防火墙时的处理动作。
- 一条放行EIP对某平台的流量访问,优先级设置最高,配置示例如下:
图3 放行EIP对某平台的访问流量
表4 放行EIP对某平台的访问流量 参数
示例
说明
方向
内-外
防护的流量的方向。
源
IP地址/IP地址组
IP地址
xx.xx.xx.48
网络流量的发起方。
目的
IP地址/IP地址组/地域/域名/域名组
应用型域名组、某平台
网络流量的接收方。
服务
服务,其他参数保持缺省值即可
网络流量的协议、源端口、目的端口。
应用
应用,HTTP、HTTPS
针对应用层协议的防护策略。
动作
放行
流量经过防火墙时的处理动作。
- 一条拦截所有流量,优先级置于最低,配置示例如下:
后续操作
- 策略的命中情况,整体防护概况请参见通过策略助手查看防护信息,详细日志请参见访问控制日志。
- 流量趋势和统计结果,整体防护概况请参见流量分析,详细流量记录请参见流量日志。
相关文档
- 防护规则的更多参数配置请参见通过防护规则拦截/放行互联网边界流量。
- 黑白名单配置请参见通过黑白名单拦截/放行流量。
- 批量添加防护策略,请参见导入/导出防护策略。
- 拦截网络攻击请参见配置IPS基础防御。
- 实现病毒防御请参见配置病毒防御。
