文档首页> 云防火墙 CFW> 产品介绍> 约束与限制
更新时间:2024-03-15 GMT+08:00
查看PDF
分享

约束与限制

CFW的整体约束限制如使用约束与限制所示,各功能的使用限制如功能约束与限制所示,版本支持的功能差异如服务版本差异所示。

使用约束与限制

  • CFW ALG标签功能受限。
  • CFW默认不开启网络层流量类型DDoS攻击与IP欺骗防御功能。
  • 域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全,建议优先使用自定义域名服务器。
  • CFW长连接业务场景限制,配置策略的时候需要同时开启双向放通的安全策略,如果只开启单向策略,部分场景(开启和关闭防护、扩容引擎)需要客户端重新发起连接。相关问题建议提交工单评估风险。

功能约束与限制

表1 云防火墙各功能约束与限制

功能/限制项

约束与限制

使用区域

购买的云防火墙只能在当前选择的区域使用,如需在其它区域使用,请切换到对应区域进行购买。有关支持购买CFW的区域说明,请参见功能总览

VPC边界防护

依赖企业路由器(Enterprise Router, ER)服务引流。

防护规则
  • 最多添加20000条防护规则。
  • 单条防护规则最多关联5条服务组。
  • 每条防护规则最多关联2条“IP地址组”
  • 单条防护规则最多添加20个源/目的IP地址。
  • 防护域名时不支持添加中文域名格式。
  • 仅入方向规则(“方向”配置为“外-内”)的“源”地址支持配置“预定义地址组”
  • 开启NAT64防护后,使用IPv6访问时,请注意将198.19.0.0/16的网段放通。因为NAT64会将源IP转换成198.19.0.0/16的网段进行ACL访问控制

黑/白名单
  • 最多添加2000条黑名单。
  • 最多添加2000条白名单。

IP地址组
  • 每个IP地址组中最多添加640个IP地址成员。
  • 每个防火墙实例下最多添加3800个IP地址组。
  • 每个防火墙实例下最多添加30000个IP地址。

服务组
  • 每个服务组中最多添加64个服务成员。
  • 每个防火墙实例下最多添加512个服务组。
  • 每个防火墙实例下最多添加900个服务成员。

域名组
  • 基础版仅支持应用型域名组。
  • 域名组成员不支持添加中文域名格式。
  • 域名组中所有域名被“防护规则”引用最多40000次,泛域名被“防护规则”引用最多2000次。
应用域名组(七层协议解析)
  • 每个域名组中最多添加1500个域名成员。
  • 每个防火墙实例下最多添加500个域名组。
  • 每个防火墙实例下最多添加2500个域名成员。
网络域名组(四层协议解析)
  • 每个域名组中最多添加15个域名成员。
  • 每个域名最大支持解析1000条IP地址。
  • 每个域名组最大支持解析1500条IP地址。
  • 每个防火墙实例下最多添加1000个域名成员。

修改基础防御规则动作
  • “防护模式”发生变化时,手动修改的规则“当前动作”保持不变。
  • 当前动作修改条数限制如下。
    • 最多可修改3000条规则为“观察”
    • 最多可修改3000条规则为“拦截”
    • 最多可修改128条规则为“禁用”

自定义IPS特征
  • 仅专业版支持自定义IPS特征。
  • 最多支持添加500条特征。
  • 自定义的IPS特征不受修改基础防御防护模式的影响。
  • 特征设置“方向”“客户端到服务器”“协议类型”“HTTP”时,“内容选项”才能设置为“URI”

日志查询
  • 日志存储时长最多支持7天。
  • 单个日志最多支持导出100000条记录。
  • 基础版不支持查询攻击事件日志。

网络抓包
  • 仅支持同时运行1个抓包任务。
  • 每日限制创建20个抓包任务。
  • 抓包数最大支持一百万个。

配置DNS解析

最多支持自定义2个DNS服务器。
分享:

    相关文档

    相关产品