访问控制策略类型
访问控制策略分为“防护规则”和“黑/白名单”两类功能,区别如下表所示,流量命中某一条策略时,执行该策略的动作,各功能的防护顺序请参见“云防火墙的防护顺序是什么”。
防护规则和黑/白名单的区别如下:
| 类型 | 支持的防护对象 | 网络类型 | 防护后的动作 | 配置方式 |
|---|---|---|---|---|
| 防护规则 |
|
|
| 通过添加防护规则拦截/放行流量 |
| 黑名单 |
| 直接拦截流量。 | 通过添加黑白名单拦截/放行流量 | |
| 白名单 | 流量被云防火墙放行,不再经过其它功能检测。 |
规格限制
VPC边界防护和NAT流量防护,需满足专业版防火墙且“开启VPC边界流量防护防护”。
配置阻断策略时注意事项
配置阻断IP的防护规则或黑名单时需注意以下几点:
建议优先配置精准的IP(如192.168.10.5),减少网段配置,避免误拦截。
对于反向代理IP(如Web应用防火墙(WAF)的回源IP),请谨慎配置阻断策略,建议配置放行的防护规则或白名单。
对于正向代理IP(如公司出口IP),影响范围较大,请谨慎配置阻断策略。
配置“地域”防护时,需考虑公网IP可能更换地址的情况。
通配符规则
| 参数名称 | 输入示例 | 说明 |
|---|---|---|
| 源/目的 | 0.0.0.0/0 | 所有IP。 |
| 域名 | www.example.com | 对www.example.com域名生效。 |
| 域名 | *.example.com | 所有以example.com为后缀的域名,例如:test.example.com。 |
| 服务-源端口/目的端口 | 1-65535 | 所有端口生效。 |
| 服务-源端口/目的端口 | 80-443 | 对80到443之间的所有端口生效。 |
| 服务-源端口/目的端口 |
| 对80和443端口生效。 |
相关文档
添加单个规则实现流量防护,请参见“通过添加防护规则拦截/放行流量”,添加单个黑/白名单实现流量防护请参见“通过添加黑白名单拦截/放行流量”。
批量添加防护策略,请参见“导入/导出防护策略”。
添加策略之后的后续操作:
策略的命中情况,整体防护概况请参见“通过策略助手查看防护信息”,详细日志请参见“访问控制日志”。
流量趋势和统计结果,整体防护概况请参见“查看流量数据”,详细流量记录请参见“流量日志”。
