更新时间:2024-12-18 GMT+08:00
分享

通过添加防护规则拦截/放行流量

开启防护后,云防火墙默认放行所有流量,您可以配置防护规则,实现流量的拦截/放行。

防护规则支持防护以下几种场景:
如果IP为Web应用防火墙(WAF)的回源IP,建议配置放行的防护规则或白名单,请谨慎配置阻断的防护规则,否则可能会影响您的业务。

前提条件

互联网边界流量防护(公网IP)需开启弹性公网IP防护,请参见开启互联网边界流量防护

规格限制

VPC边界防护和NAT流量(私网IP)防护,需满足专业版防火墙且开启VPC边界防火墙防护,请参见VPC边界防火墙

约束条件

  • CFW不支持应用层网关(Application Level Gateway,ALG)。ALG能够对应用层数据载荷中的字段进行分析,并针对在载荷中会包含端口和IP地址的多通道协议(例如FTP、SIP等)动态调整策略。但CFW的防护策略仅支持对端口设置静态策略。如果需要允许多通道协议通信,建议配置一条放通所有端口的规则。
  • CFW长连接业务场景限制,配置策略的时候需要同时开启双向放通的安全策略,如果只开启单向策略,部分场景(开启和关闭防护、扩容引擎)需要客户端重新发起连接。相关问题建议提交工单评估风险。
  • 最多添加20000条防护规则。
  • 单条防护规则最大限制如下:
    • 最多添加20条IP地址(源和目的各20条)。
    • 最多关联2条“IP地址组”(源和目的各2条)。
    • 最多关联5条服务组。
  • 防护域名时不支持添加中文域名格式。
  • 域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全,建议有访问自身业务相关域名场景时配置自定义域名服务器
  • 仅入方向规则(“方向”配置为“外-内”)的“源”地址支持配置“预定义地址组”
  • 开启NAT64防护后,使用IPv6访问时,请注意将198.19.0.0/16的网段放通。因为NAT64会将源IP转换成198.19.0.0/16的网段进行ACL访问控制。

后续操作

查看防护效果:

相关操作

批量添加防护规则请参见导入/导出防护策略

相关文档