使用限制
更新时间 2025-09-03 14:41:01
最近更新时间: 2025-09-03 14:41:01
本文介绍了云防火墙(原生版)产品的使用限制。
C100使用限制
扩展包上限
防护互联网边界的流量峰值:
高级版:10Mbps~2000Mbps。
企业版:50Mbps~2000Mbps
防护互联网边界公网IP数:
高级版:20个~1000个。
企业版:50个~1000个。
访问控制规则上限
互联网边界防火墙和VPC边界防火墙分别支持10000条访问控制规则。
规避架构风险
| 使用限制条款 | 合规落地措施 | 违规风险 |
|---|---|---|
| 公网ELB 和后端云主机在不同子网 | 部署时通过控制台校验:公网ELB 选择 “公共子网”,后端 ECS 选择 “业务子网” | 流量可能绕开云防火墙,导致防护失效;单点故障时影响范围扩大 |
| 绑定EIP 的 ECS 与 NAT 访问的 ECS 在不同子网 | 1. 绑定 EIP 的 ECS 仅部署在 “公共子网”,NAT 访问的 ECS 仅部署在 “业务子网”; 2. 通过 VPC 路由表隔离:公共子网无指向 NAT 网关的路由,业务子网无直接指向互联网的路由 | 出访流量路径混乱,无法通过NAT 网关或云防火墙统一管控与审计 |
| 子网专项需求(NAT 子网 28 位、公共子网按需、2 个引流子网 28 位) | 1. 子网创建时严格按规格配置,禁止随意扩大 / 缩小网段; 2. 通过子网名称规范化标识(如 “NAT-GW-Subnet-10.0.1.0/28”“GWLBE-Inbound-Subnet-10.10.0.0/28”) | 子网地址耗尽;引流子网规格不匹配导致GWLBE 无法正常接收流量 |
| 安全产品单独在一个子网 | 1. 安全产品(如等保专区)仅部署在 “安全产品子网”; 2. 安全产品子网的安全组仅开放与云防火墙的通信端口,禁止其他子网直接访问 | 安全产品被业务流量干扰;安全产品自身被攻击风险升高 |
N100使用限制
云防火墙(原生版)- N100型实例默认不限制日志存储时间;但因本地存储空间有限,云防火墙将在超过存储容量90%后启动滚动存储策略,增量日志将覆盖历史日志。
如果您有180天日志存储的诉求,可参考如下方法进行配置,以确保日志能够被妥善保存:
方法一:将日志通过syslog外发到专用的日志服务器或者日志审计服务中进行存档与分析(推荐)。
方法二:扩容本地磁盘以保证足够的日志存储容量。
