开启防护后,云防火墙默认放行所有流量,您可以通过配置黑/白名单规则,拦截/放行IP地址的访问请求。
本文指导您添加单个黑白名单,如果需要批量添加黑白名单请参见“导入/导出防护策略”。
注意
如果IP为Web应用防火墙(WAF)的回源IP,建议使用白名单或配置放行的防护规则,请谨慎配置黑名单规则,否则可能会影响您的业务。
- 回源IP的相关信息请参见《Web应用防火墙用户指南》中《放行WAF回源IP》。
- 配置防护规则请参见“通过添加防护规则拦截/放行流量”。
规格限制
云防火墙最多支持配置2000条黑名单和2000条白名单,当您黑名单IP或白名单IP超出限制时,可通过添加IP地址组,并在防护规则中引用的方式实现拦截/放行效果。
添加IP地址组请参见“添加自定义IP地址组和IP地址”。
添加防护规则请参见“通过添加防护规则拦截/放行流量”。
私网IP防护,需满足专业版防火墙且“开启VPC边界流量防护防护”。
系统影响
将IP或IP地址段配置为黑名单/白名单后,来自该IP或IP地址段的访问,CFW将不会做任何检测,直接拦截(黑名单)/放行(白名单),您可以在“日志查询”中检索该IP或IP地址段查看访问情况和流量情况。
配置黑名单时,如果涉及地址转换或者存在代理的场景,需要谨慎评估拦截IP的影响。
通过添加黑白名单拦截/放行流量
登录管理控制台。
在左侧导航栏中,单击左上方的
,选择“安全> 云防火墙”,进入云防火墙的总览页面。
(可选)当前账号下仅存在单个防火墙实例时,自动进入防火墙详情页面,存在多个防火墙实例时,单击防火墙列表“操作”列的“查看”,进入防火墙详情页面。
在左侧导航栏中,选择“访问控制> 访问策略管理”,进入“访问策略管理”界面。切换防护对象页签后,选择“黑名单”或“白名单”页签。
单击“添加”,设置地址方向、IP地址、协议类型、端口,填写规则请参见下表。
参数名称 参数说明 地址方向 选择“源地址”或“目的地址”。
- 源地址:设置会话发起方。
- 目的地址:设置会话接收方。
协议类型 协议类型当前支持:TCP、UDP、ICMP、Any。 端口 “协议类型”选择“TCP”或“UDP”时,设置需要放行或拦截的端口。
说明
- 如您需设置该IP地址的全部端口,可配置“端口”为“1-65535”。
- 如您需设置某个端口,可填写为单个端口。例如放行/拦截该IP地址22端口的访问,则配置“端口”为“22”。
- 如您需设置某个范围的端口,可填写为连续端口组,中间使用“-”隔开。例如放行/拦截该IP地址80-443端口的访问,则配置“端口”为“80-443”。
描述 设置该黑/白名单的备注信息。 单击“确认”,完成添加。
相关操作
编辑和删除黑白名单请参见“管理黑白名单”。
批量添加黑白名单请参见“导入/导出防护策略”。
