通过防护规则拦截/放行互联网边界流量
开启防护后,云防火墙默认放行所有流量,您可以配置防护规则,实现流量的拦截/放行。
防护规则说明
防护规则的防护对象、防护动作,以及防护场景说明如下:
名称
说明
支持的防护对象
五元组
IP地址组
地理位置(地域)
域名和域名组(四层和七层流量)
应用
网络类型
公网IP
私网IP
防护后的动作
设置为“阻断”:流量直接拦截。
设置为“放行”:流量被“防护规则”功能放行后,再经过入侵防御(IPS)功能检测。
防护场景
防护规则支持防护以下几种场景:
本文指导如何防护互联网边界中公网资产(EIP)的流量。
互联网访问云上资产(EIP)的流量防护请参见互联网访问云上资产(入云方向)。
云上资产(EIP)访问互联网的流量防护请参见云上资产访问互联网(出云方向)。
防护互联网边界中私网资产的场景,请参见通过防护规则拦截/放行NAT网关边界流量。
防护VPC与VPC之间、VPC与线下IDC之间的访问流量,请参见通过防护规则拦截/放行VPC边界流量。
注意:
如果IP为Web应用防火墙(WAF)的回源IP,建议配置放行的防护规则或白名单,请谨慎配置阻断的防护规则,否则可能会影响您的业务。
回源IP的相关信息请参见什么是回源IP?。
配置白名单请参见通过黑白名单拦截/放行流量。
约束条件
CFW不支持应用层网关(Application Level Gateway,ALG)。如果有ALG相关业务(例如SIP,FTP),建议增加一条放通数据通道所有端口的规则。
CFW长连接业务场景限制,配置策略的时候需要同时开启双向放通的安全策略,如果只开启单向策略,部分场景(开启和关闭防护、扩容引擎)需要客户端重新发起连接。相关问题建议提交工单评估风险。
配额限制:
最多添加20,000条防护规则。
单条防护规则最大限制如下:
IPv4 IP地址的个数最大支持4,000个(源和目的各4,000个),IPv6 IP地址的个数最大支持2,000个(源和目的各2,000个)。
最多添加20个“IP地址”(源和目的各20个)。
最多关联5个“IP地址组”(源和目的各5个),单个防护规则中关联的地址组成员个数最大支持1666个。
最多关联5个服务组。
域名防护限制:
域名防护时不支持添加中文域名格式。
应用型域名引用数量限制如下:
每个防火墙实例中最多引用60,000个域名。
每个防火墙实例最多引用1,000个泛域名。
每条防护规则最多引用20,000个域名。
每条防护规则最多引用128个泛域名。
计算方式:规则A和规则B中均引用了域名1和域名组A(包含域名2和域名3),则规则A/B引用的域名数量为3个,该防火墙实例中引用的域名数量为6个。
网络型域名组最多只能保存1,000个地址解析结果,超出时,可能导致无法正常访问对应的域名;对于解析结果较多或变化频繁的域名,如果防护流量是HTTP、HTTPS协议,建议优先使用应用型域名组添加策略。
域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全,建议有访问自身业务相关域名场景时配置自定义域名服务器。
地域限制:对于源或目的选择为地域(地理位置)的防护规则,仅对防护对象为IPv4的地址生效。
仅入方向规则(“方向”配置为“外-内”)的“源”地址支持配置“预定义地址组”。
开启NAT64防护后,使用IPv6访问时,请注意将198.19.0.0/16的网段放通。因为NAT64会将源IP转换成198.19.0.0/16的网段进行ACL访问控制。
对业务的影响
配置拦截的防护规则时,如果涉及地址转换或者存在代理的场景,需要谨慎评估拦截IP的影响。
添加互联网边界防护规则
参考以下操作添加对应场景的防护规则。
互联网访问云上资产(入云方向)
云上资产访问互联网(出云方向)
开启弹性公网IP防护,请参见开启互联网边界流量防护。
(可选)如果您需要同时添加多个IP地址、服务(协议、源端口、目的端口),可先添加对应的组。
添加多个IP地址,具体操作请参见管理IP地址组。
添加多个服务,具体操作请参见管理服务组。
在云防火墙左侧导航栏中,选择“访问控制 > 互联网边界防护规则”,进入“互联网边界防护规则”页面。
添加新的防护规则。
在“防护规则 > EIP规则”页签中,单击“添加”,在弹出的“添加防护规则”中,填写新的防护信息,填写规则请参见表1。
表1 添加防护规则-互联网边界-入云方向
参数名称
参数说明
规则类型
默认选择“EIP规则”,防护EIP的流量,仅支持配置公网IP;如果需要配置私网IP请参见DNAT流量防护规则。
说明:
标准版防火墙仅支持配置EIP规则,不涉及选择“规则类型”参数。
名称
自定义安全策略规则的名称。
方向
防护的流量的方向,此处选择“外-内”。
外-内:互联网访问云上资产(EIP)。
内-外:云上资产(EIP)访问互联网。
源
设置会话发起方。
IP地址:填写公网IP地址,支持设置单个IP地址、多个连续IP地址、地址段。
单个公网IP地址,如:xx.xx.10.5
多个连续的公网IP地址,中间使用“-”隔开,如:xx.xx.0.2-xx.xx.0.10
公网IP地址段,使用"/"隔开掩码,如:xx.xx.2.0/24
多个非连续的IP地址,支持逐个添加。
IP地址组:支持多个公网IP地址的集合。
“方向”配置为“外-内”时,“源”地址支持配置“预定义地址组”。
添加自定义IP地址组请参见添加IP地址组,预定义地址组请参见查看预定义地址组。
地域:“方向”选择“外-内”时,支持地理位置防护,通过指定大洲、国家、地区配置防护规则。
Any:任意源地址。
目的
设置会话接收方。
IP地址:填写公网IP地址,支持设置单个IP地址、多个连续IP地址、地址段。
单个公网IP地址,如:xx.xx.10.5
多个连续的公网IP地址,中间使用“-”隔开,如:xx.xx.0.2-xx.xx.0.10
公网IP地址段,使用"/"隔开掩码,如:xx.xx.2.0/24
多个非连续的IP地址,支持逐个添加。
IP地址组:支持多个公网IP地址的集合。
添加自定义IP地址组请参见添加自定义IP地址组。
Any:任意目的地址。
服务
服务:设置协议类型、源端口和目的端口。
协议:支持选择TCP、UDP、ICMP。
源/目的端口:“协议”选择“TCP”或“UDP”时,需要设置端口号。
如您需设置该IP地址的全部端口,可配置“端口”为“1-65535”。
如您需设置某个端口,可填写为单个端口。例如设置22端口的访问,则配置“端口”为“22”。
如您需设置某个范围的端口,可填写为连续端口组,中间使用“-”隔开。例如设置80-443端口的访问,则配置“端口”为“80-443”。
服务组:支持多个服务(协议、源端口、目的端口)的集合。
添加自定义服务组请参见添加服务组,预定义服务组请参见查看预定义服务组。
Any:任意协议类型和端口号。
应用
(可选)设置针对应用层协议的防护策略。
“服务”选择“Any”时,支持所有应用类型。
“服务”选择“服务”,“协议”选择“TCP”时,支持TCP的应用类型,例如HTTP、HTTPS等。
“服务”选择“服务”,“协议”选择“UDP”时,支持UDP的应用类型,例如DNS、RDP。
防护动作
设置流量经过防火墙时的处理动作。
放行:防火墙允许此流量转发。
阻断:防火墙禁止此流量转发。
启用状态
设置该策略是否立即启用。
:表示立即启用,配置完成后规则立即生效。
:表示立即关闭,规则不生效。
策略优先级
设置该策略的优先级:
置顶:表示将该策略的优先级设置为最高。
移动至选中规则后:表示将该策略优先级设置到某一规则后。
设置后,优先级数字越小,策略的优先级越高。
添加的第一条防护规则默认优先级是1,无需选择“策略优先级”。
时间计划管理
(可选)单击“时间计划”设置规则的生效时间段,选择已设置的时间计划或新增时间计划。
配置长连接
当前防护规则仅配置一个“服务”且“协议”选择“TCP”或“UDP”时,可配置业务会话老化时间(以秒为单位)。
最大支持50条规则设置长连接。
是:设置长连接时长。
否:保留默认时长,各协议规则默认支持的连接时长如下:
TCP协议:1800s。
UDP协议:60s。
长连接时长
“配置长连接”选择“是”时,需要设置长连接时长,输入“时”、“分”、“秒”。
支持时长设置为1秒~1000天。
标签
(可选)用于标识规则,可通过标签实现对安全策略的分类和搜索。
描述
(可选)标识该规则的使用场景和用途,以便后续运维时快速区分不同规则的作用。
单击“确认”,完成配置防护规则。
防护规则配置完成并处于启用状态时,会立即生效。
开启弹性公网IP防护,请参见开启互联网边界流量防护。
(可选)如果您需要同时添加多个IP地址、域名、服务(协议、源端口、目的端口),可先添加对应的组。
添加多个IP地址,具体操作请参见管理IP地址组。
添加多个域名,具体操作请参见管理域名组。
添加多个服务,具体操作请参见管理服务组。
在云防火墙左侧导航栏中,选择“访问控制 > 互联网边界防护规则”,进入“互联网边界防护规则”页面。
添加新的防护规则。
在“EIP规则”页签中,单击“添加”,在弹出的“添加防护规则”中,填写新的防护信息,填写规则请参见表2。
表2 添加防护规则-互联网边界-出云方向
参数名称
参数说明
规则类型
默认选择“EIP规则”,防护EIP的流量,仅支持配置公网IP;如果需要配置私网IP请参见DNAT流量防护规则。
说明:
标准版防火墙仅支持配置EIP规则,不涉及选择“规则类型”参数。
名称
自定义安全策略规则的名称。
方向
防护的流量的方向,此处选择“内-外”。
外-内:互联网访问云上资产(EIP)。
内-外:云上资产(EIP)访问互联网。
源
设置会话发起方。
IP地址:填写公网IP地址,支持设置单个IP地址、多个连续IP地址、地址段。
单个公网IP地址,如:xx.xx.10.5
多个连续的公网IP地址,中间使用“-”隔开,如:xx.xx.0.2-xx.xx.0.10
公网IP地址段,使用"/"隔开掩码,如:xx.xx.2.0/24
多个非连续的IP地址,支持逐个添加。
IP地址组:支持多个公网IP地址的集合。
“方向”配置为“外-内”时,“源”地址支持配置“预定义地址组”。
添加自定义IP地址组请参见添加IP地址组,预定义地址组请参见查看预定义地址组。
Any:任意源地址。
目的
设置会话接收方。
IP地址:填写公网IP地址,支持设置单个IP地址、多个连续IP地址、地址段。
单个公网IP地址,如:xx.xx.10.5
多个连续的公网IP地址,中间使用“-”隔开,如:xx.xx.0.2-xx.xx.0.10
公网IP地址段,使用"/"隔开掩码,如:xx.xx.2.0/24
多个非连续的IP地址,支持逐个添加。
IP地址组:支持多个公网IP地址的集合。
添加自定义IP地址组请参见添加自定义IP地址组。
地域:支持地理位置防护,通过指定大洲、国家、地区配置防护规则。
域名/域名组:支持域名或域名组的防护。
应用型:支持域名或泛域名的防护;适用应用层协议,支持HTTP、HTTPS、TLS、SMTPS、POPS的应用协议类型;通过域名匹配。
网络型:支持单个域名或多个域名的防护;适用网络层协议,支持所有协议类型;通过解析到的IP过滤。
说明:
防护HTTP、HTTPS、TLS、SMTPS、POPS应用类型的域名时可选择任意类型。
防护HTTP、HTTPS、TLS、SMTPS、POPS应用类型的泛域名(泛域名标准格式为*.域名,其中*是通配符,表示匹配任意字符或字符串,例如:*.example.com)时仅支持选择“应用型”的任意选项。
防护其它应用类型(如FTP、MySQL、SMTP)的单个域名:选择“网络型”的任意选项(选择“域名”时,解析出的IP地址上限个数为600个)。
防护其它应用类型(如FTP、MySQL、SMTP)的多个域名:选择“网络型”“网络域名组”。
同一域名同时需要配置HTTP/HTTPS/TLS/SMTPS/POPS(泛域名/应用型域名组)和其它应用类型(网络型域名组)时,“网络型”的防护规则“优先级”需高于“应用型”。
应用型与网络型详细介绍请参见管理域名组。
配置HTTP或HTTPS的出方向域名/域名组后,验证策略有效性请参见如何验证HTTP/HTTPS的出方向域名防护规则的有效性。
Any:任意目的地址。
服务
服务:设置协议类型、源端口和目的端口。
协议:支持选择TCP、UDP、ICMP。
源/目的端口:“协议”选择“TCP”或“UDP”时,需要设置端口号。
如您需设置该IP地址的全部端口,可配置“端口”为“1-65535”。
如您需设置某个端口,可填写为单个端口。例如设置22端口的访问,则配置“端口”为“22”。
如您需设置某个范围的端口,可填写为连续端口组,中间使用“-”隔开。例如设置80-443端口的访问,则配置“端口”为“80-443”。
服务组:支持多个服务(协议、源端口、目的端口)的集合。
添加自定义服务组请参见添加服务组,预定义服务组请参见查看预定义服务组。
Any:任意协议类型和端口号。
应用
(可选,“目的”选择“域名/域名组”时,参数为必选)设置针对应用层协议的防护策略。
“服务”选择“Any”时,支持所有应用类型。
“服务”选择“服务”,“协议”选择“TCP”时,支持TCP的应用类型,例如HTTP、HTTPS等。
“服务”选择“服务”,“协议”选择“UDP”时,支持UDP的应用类型,例如DNS、RDP。
防护动作
设置流量经过防火墙时的处理动作。
放行:防火墙允许此流量转发。
阻断:防火墙禁止此流量转发。
启用状态
设置该策略是否立即启用。
:表示立即启用,配置完成后规则立即生效。
:表示立即关闭,规则不生效。
策略优先级
设置该策略的优先级:
置顶:表示将该策略的优先级设置为最高。
移动至选中规则后:表示将该策略优先级设置到某一规则后。
设置后,优先级数字越小,策略的优先级越高。
添加的第一条防护规则默认优先级是1,无需选择“策略优先级”。
时间计划管理
(可选)单击“时间计划管理”设置规则的生效时间段,选择已设置的时间计划或新增时间计划。
配置长连接
当前防护规则仅配置一个“服务”且“协议”选择“TCP”或“UDP”时,可配置业务会话老化时间(以秒为单位)。
长连接时长
“配置长连接”选择“是”时,需要设置长连接时长,输入“时”、“分”、“秒”。
标签
(可选)用于标识规则,可通过标签实现对安全策略的分类和搜索。
描述
(可选)标识该规则的使用场景和用途,以便后续运维时快速区分不同规则的作用。
单击“确认”,完成配置防护规则。
防护规则配置完成并处于启用状态时,会立即生效。
查看防护规则的命中情况
您可以等待业务运行一段时间后,在防护规则列表的“命中次数”列查看防护规则的命中情况。
后续操作
查看防护效果:
策略的命中情况,整体防护概况请参见通过策略助手查看防护信息,详细日志请参见访问控制日志。
流量趋势和统计结果,整体防护概况请参见流量分析,详细流量记录请参见流量日志。
相关文档
批量添加防护规则请参见导入/导出防护策略。
调整防护规则的优先级请参见调整防护规则的优先级。