更新时间:2025-06-12 GMT+08:00
示例三:放行业务访问某平台的流量
本文提供放行业务访问某平台的流量的配置示例,更多参数配置请参见通过防护规则拦截/放行互联网边界流量。
域名组类型
CFW提供应用域名组(七层协议解析)和网络域名组(四层协议解析)两种类型,两类域名组的差异如表1所示。
|
- |
应用域名组(七层协议解析) |
网络域名组(四层协议解析) |
|---|---|---|
|
防护对象 |
|
|
|
协议类型 |
应用层协议,支持HTTP、HTTPS、TLS、SMTPS、POPS的应用协议类型。 |
网络层协议,支持所有协议类型。 |
|
匹配规则 |
基于域名匹配;将会话中的HOST字段与应用型域名进行比对,如果一致,则命中对应的防护规则。 |
基于解析到的IP地址过滤。 在后台获取DNS服务器解析出的IP地址(每15s获取一次),当会话的四元组与网络型域名相关规则匹配、且本次访问解析到的地址在此前保存的结果中(已从DNS服务器解析中获取到IP地址),则命中对应的防护规则。 |
|
配置建议 |
映射地址量大或映射结果变化快的域名建议优先使用应用域名组(如被内容分发网络(CDN)加速的域名)。 |
|
放行业务访问某平台的流量
假如您需要放行EIP(xx.xx.xx.48)对“cfw-test.com”和“*.example.com”的访问流量,设置参数如下,其余参数可根据您的部署进行填写。
- 将平台域名添加至应用型域名组,如图 添加某平台域名组所示。
- 配置两条防护规则:
- 一条拦截所有流量,如图 拦截所有流量所示,优先级置于最低。
- 一条放行EIP对某平台的流量访问,如图 放行IP对某平台的访问流量所示,优先级设置最高。
后续操作
查看防护效果:
- 策略的命中情况,整体防护概况请参见通过策略助手查看防护信息,详细日志请参见访问控制日志。
- 流量趋势和统计结果,整体防护概况请参见流量分析,详细流量记录请参见流量日志。
相关文档
- 防护规则的更多参数配置请参见通过防护规则拦截/放行互联网边界流量。
- 黑白名单配置请参见通过黑白名单拦截/放行流量。
- 批量添加防护策略,请参见导入/导出防护策略。
- 拦截网络攻击请参见配置入侵防御。
- 实现病毒防御请参见配置病毒防御。
