文档首页/ 云防火墙 CFW/ 用户指南/ 访问控制/ 配置访问控制策略/ 通过防护规则拦截/放行NAT网关边界流量
更新时间:2025-08-05 GMT+08:00

通过防护规则拦截/放行NAT网关边界流量

开启防护后,云防火墙默认放行所有流量,您可以配置防护规则,实现流量的拦截/放行。

防护规则说明

防护规则的防护对象、防护动作,以及防护场景说明如下:

名称

说明

支持的防护对象

  • 五元组
  • IP地址组
  • 地理位置(地域)
  • 域名和域名组(四层和七层流量)
  • 应用

网络类型

  • 公网IP
  • 私网IP

防护后的动作

  • 设置为“阻断”:流量直接拦截。
  • 设置为“放行”:流量被“防护规则”功能放行后,再经过入侵防御(IPS)功能检测。

防护场景

防护规则支持防护以下几种场景:
注意:
如果IP为Web应用防火墙(WAF)的回源IP,建议配置放行的防护规则或白名单,请谨慎配置阻断的防护规则,否则可能会影响您的业务。

规格限制

“专业版”支持NAT流量(私网IP)防护。

约束条件

  • CFW不支持应用层网关(Application Level Gateway,ALG)。如果有ALG相关业务(例如SIP,FTP),建议增加一条放通数据通道所有端口的规则。
  • CFW长连接业务场景限制,配置策略的时候需要同时开启双向放通的安全策略,如果只开启单向策略,部分场景(开启和关闭防护、扩容引擎)需要客户端重新发起连接。相关问题建议提交工单评估风险。
  • 配额限制:
    • 最多添加20,000条防护规则。
    • 单条防护规则最大限制如下:
      • IPv4 IP地址的个数最大支持4,000个(源和目的各4,000个),IPv6 IP地址的个数最大支持2,000个(源和目的各2,000个)。
      • 最多添加20个“IP地址”(源和目的各20个)。
      • 最多关联5个“IP地址组”(源和目的各5个),单个防护规则中关联的地址组成员个数最大支持1666个。
      • 最多关联5个服务组。
  • 域名防护限制:
    • 域名防护时不支持添加中文域名格式。
    • 应用型域名引用数量限制如下:
      • 每个防火墙实例中最多引用60,000个域名。
      • 每个防火墙实例最多引用1,000个泛域名。
      • 每条防护规则最多引用20,000个域名。
      • 每条防护规则最多引用128个泛域名。

      计算方式:规则A和规则B中均引用了域名1和域名组A(包含域名2和域名3),则规则A/B引用的域名数量为3个,该防火墙实例中引用的域名数量为6个。

    • 网络型域名组最多只能保存1,000个地址解析结果,超出时,可能导致无法正常访问对应的域名;对于解析结果较多或变化频繁的域名,如果防护流量是HTTP、HTTPS协议,建议优先使用应用型域名组添加策略。
    • 域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全,建议有访问自身业务相关域名场景时配置自定义域名服务器
  • 地域限制:对于源或目的选择为地域(地理位置)的防护规则,仅对防护对象为IPv4的地址生效。
  • 仅DNAT规则的“源”地址支持配置“预定义地址组”
  • 开启NAT64防护后,使用IPv6访问时,请注意将198.19.0.0/16的网段放通。因为NAT64会将源IP转换成198.19.0.0/16的网段进行ACL访问控制。

对业务的影响

配置拦截的防护规则时,如果涉及地址转换或者存在代理的场景,需要谨慎评估拦截IP的影响。

查看防护规则的命中情况

您可以等待业务运行一段时间后,在防护规则列表的“命中次数”列查看防护规则的命中情况。

后续操作

查看防护效果:

相关文档