更新时间:2024-10-24 GMT+08:00
约束与限制
本文介绍云防火墙CFW服务在使用过程中的约束和限制。
CFW使用限制
- 仅支持对部署在华为云的业务提供防护,不支持跨云使用。
- 支持弹性公网IP EIP的流量防护,不支持全域公网带宽GEIP、API网关APIG绑定的EIP的流量防护。
- 购买的云防火墙只能在当前选择的区域使用,如需在其它区域使用,请切换到对应区域进行购买。有关支持购买CFW的区域说明,请参见功能总览。
- VPC边界流量防护功能依赖企业路由器ER服务引流,使用该功能时,需确保账号下至少有一个企业路由器。
- 云防火墙不支持防护中文域名。
- 标准版旁路引擎已于2023年1月停止销售,相关功能在此之后停止演进,该版本不支持云监控服务CES、查看IPS库或修改IPS动作、日志存储至云日志服务LTS、病毒防御(专业版)等功能。如需使用以上功能建议切换为直路引擎。
防护策略配额限制
- 防护规则
- 黑白名单
- 一个防火墙实例最多添加2000条黑名单。
- 一个防火墙实例最多添加2000条白名单。
- 成员组
- IP地址组
- 每个防火墙实例下最多添加3800个IP地址组。
- 每个IP地址组中最多添加640个IP地址成员。
- 每个防火墙实例下最多添加30000个IP地址。
- 服务组
- 每个防火墙实例下最多添加900个服务成员。
- 每个防火墙实例下最多添加512个服务组。
- 每个服务组中最多添加64个服务成员。
- 域名组
- 基础版仅支持应用型域名组。
- 域名组中所有域名被“防护规则”引用最多40000次,泛域名被“防护规则”引用最多2000次。
- 应用域名组(七层协议解析)
- 每个防火墙实例下最多添加500个域名组。
- 每个防火墙实例下最多添加2500个域名成员。
- 每个应用域名组中最多添加1500个域名成员。
- 网络域名组(四层协议解析)
- 每个防火墙实例下最多添加1000个域名成员。
- 每个网络域名组中最多添加15个域名成员。
- 每个域名组最多支持解析1500条IP地址。
- 每个域名最多支持解析1000条IP地址。
- IP地址组
基础防御IPS限制
- 修改基础防御规则动作
- 最多可修改3000条规则为“观察”。
- 最多可修改3000条规则为“拦截”。
- 最多可修改128条规则为“禁用”。
- 自定义IPS特征
- 仅专业版支持自定义IPS特征。
- 最多支持添加500条特征。
日志数据限制
- 云防火墙支持查看7天以内的日志数据。将单类或者多类日志记录至LTS中,您可以查看1-365天的日志数据。
- 单个日志单次最多支持导出100,000条记录。
- 基础版不支持查询攻击事件日志。