云服务器内容精选

  • 后续管理 访问控制策略创建完成后,可在策略列表页面,管理已创建策略,包括管理关联用户或资源、删除策略、启停策略、策略排序等。 若需补充关联用户或资源,可单击“关联”,快速关联用户、用户组、资源账户、账户组。 若需删除策略,可选择目标策略,单击“删除”,立即删除策略。 若需禁用策略授权,可勾选一个或多个“已启用”状态的策略,单击“禁用”,策略状态变更为“已禁用”,策略授权立即失效。 若需排序策略优先等级,可选中策略行上下拖动策略,改变策略排序。 若需线下管理策略,可单击“导出”,以 CS V格式导出全量访问控制策略详情。
  • 访问控制策略类型 访问控制策略分为“防护规则”和“黑/白名单”两类功能,区别如表 防护规则和黑/白名单的区别所示,流量命中某一条策略时,执行该策略的动作,各功能的防护顺序请参见 云防火墙 的防护顺序是什么?。 表1 防护规则和黑/白名单的区别 类型 支持的防护对象 网络类型 防护后的动作 配置方式 防护规则 五元组 IP地址组 地理位置(地域) 域名 和域名组 公网IP 私网IP 设置为“阻断”:流量直接拦截。 设置为“放行”:流量被“防护规则”功能放行后,再经过入侵防御(IPS) 功能检测。 通过添加防护规则拦截/放行流量 黑名单 五元组 IP地址组 直接拦截流量。 通过添加黑白名单拦截/放行流量 白名单 流量被云防火墙放行,不再经过其它功能检测。
  • 配置阻断策略时注意事项 配置阻断IP的防护规则或黑名单时需注意以下几点: 建议优先配置精准的IP(如192.168.10.5),减少网段配置,避免误拦截。 对于反向代理IP(如内容分发网络(CDN)、DDoS高防、 Web应用防火墙 (WAF)的回源IP),请谨慎配置阻断策略,建议配置放行的防护规则或白名单。 对于正向代理IP(如公司出口IP),影响范围较大,请谨慎配置阻断策略。 配置“地域”防护时,需考虑公网IP可能更换地址的情况。
  • 通配符规则 参数名称 输入示例 说明 源/目的 0.0.0.0/0 所有IP。 域名 www.example.com 对www.example.com域名生效。 域名 *.example.com 所有以example.com为后缀的域名,例如:test.example.com。 服务-源端口/目的端口 1-65535 所有端口生效。 服务-源端口/目的端口 80-443 对80到443之间的所有端口生效。 服务-源端口/目的端口 80 443 对80和443端口生效。
  • 导入参数示例——地址组成员对域名组成员的访问 地址信息表 地址组名称:地址组1 地址组描述:业务A 地址组地址类型:IPv4 地址组成员 IP地址:10.1.1.2;描述:ECS1 IP地址:10.1.1.3;描述:ECS2 IP地址:10.1.1.4;描述:ECS3 域名组信息表 域名组名称:域名组1 域名组类型:URL过滤 域名组描述:业务A对外访问域名 域名组成员 域名成员:www.example.test.api;域名描述:api 域名成员:www.test.example.com;域名描述:一个域名 域名成员:www.example.example.test;域名描述:XX系统 防护规则表 顺序:1 规则名称:业务A外联 防护规则:NAT规则 方向:内到外 动作:放行 规则地址类型:IPv4 启用状态:禁用 源地址类型:IP地址组 源地址组名称:地址组1 目的地址类型:域名组 目的域名组名称:域名组1 服务类型:服务 协议/源端口/目的端口:TCP/0-65535/8080
  • 导入参数示例——内到外的阻断规则 原规则 rule id:123 src-zone:trust dst-zone:untrust src-addr:0.0.0.0/0 dst-addr:xx.xx.xx.9 service :SSH action:deny name:example123 转换后填写规则 顺序:1 规则名称:example123 防护规则:EIP防护 方向:内到外 动作:阻断 规则地址类型:IPv4 启用状态:禁用 描述:一个样例 源地址类型:IP地址 源IP地址:0.0.0.0/0 目的地址类型:IP地址 目的IP地址:xx.xx.xx.9 服务类型:服务 协议/源端口/目的端口:TCP/1-65535/22
  • 导入规则模板参数-VPC防护规则表(VPC边界防护规则) 表2 VPC边界防护规则表参数说明 参数名称 参数说明 取值样例 顺序 定义规则序号。 1 规则名称 自定义规则名称。 只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成,且名称长度不能超过255个字符。 test 动作 选择“放行”或者“阻断”。设置防火墙对通过流量的处理动作。 放行 启用状态 选择该策略是否立即启用。 启用:表示启用,规则生效; 禁用:表示关闭,规则不生效。 启用 描述 自定义规则描述。 test 源地址类型 设置访问流量中发送数据的地址类型。 IP地址:支持设置单个IP地址、连续多个IP地址、地址段。 IP地址组:支持多个IP地址的集合。 IP地址 源IP地址 “源地址类型”选择“IP地址”时,需填写“源IP地址”。 支持以下输入格式: 单个IP地址,如:192.168.10.5 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10 地址段,使用“/”隔开掩码,如:192.168.2.0/24 说明: 如果您希望输入多个单IP地址或多个IP地址段,需要配置多条规则。这些规则的IP地址(段)不同,其他参数相同。 192.168.10.5 源地址组名称 “源地址类型”选择“IP地址组”时,需填写“源地址组名称”。 支持以下输入格式; 可输入中文、字母、数字、下划线、连接符或空格。 名称长度不能超过255个字符。 s_test 目的地址类型 选择访问流量中的接收数据的地址类型。 IP地址:支持设置单个IP地址、连续多个IP地址、地址段。 IP地址组:支持多个IP地址的集合。 IP地址组 目的IP地址 “目的地址类型”选择“IP地址”时,需填写“目的IP地址”。 目的IP地址支持以下输入格式: 单个IP地址,如:192.168.10.5 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10 地址段,使用“/”隔开掩码,如:192.168.2.0/24 说明: 如果您希望输入多个单IP地址或多个IP地址段,需要配置多条规则。这些规则的IP地址(段)不同,其他参数相同。 192.168.10.6 目的地址组名称 “目的地址类型”选择“IP地址组”时,需填写“目的地址组名称”。 支持以下输入格式; 可输入中文、字母、数字、下划线、连接符或空格。 名称长度不能超过255个字符。 d_test 服务类型 选择服务或服务组。 服务:支持设置单个服务。 服务组:支持多个服务的集合。 服务 协议/源端口/目的端口 设置需要限制的类型。 协议类型当前支持:TCP、UDP、ICMP、Any。 设置需要开放或限制的源端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 设置需要开放或限制的目的端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 TCP/443/443 服务组名称 自定义服务组名称。 只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成,且名称长度不能超过255个字符。 service_test 分组标签 用于标识规则,可通过标签实现对安全策略的分类和搜索。 k=a
  • 导入规则模板参数-防护规则表(互联网边界防护规则) 表1 互联网边界防护规则表参数说明 参数名称 参数说明 取值样例 顺序 定义规则序号。 1 规则名称 自定义规则名称。 只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成,且名称长度不能超过255个字符。 test 防护规则 选择安全策略的防护类型。 EIP防护: 防护EIP的流量,仅支持配置公网IP。 NAT防护: 防护NAT的流量,可以配置私网IP。 EIP防护 方向 选择防护方向: 外-内:外网访问内部服务器。 内-外:客户服务器访问外网。 内到外 动作 选择“放行”或者“阻断”。设置防火墙对通过流量的处理动作。 放行 规则地址类型 选择“IPv4”或者“IPv6”。设置防护的IP类型。 IPv4 启用状态 选择该策略是否立即启用。 启用:表示立即开启,规则生效; 禁用:表示关闭,规则不生效。 启用 描述 自定义规则描述。 test 源地址类型 设置访问流量中发送数据的地址类型。 IP地址:支持设置单个IP地址、连续多个IP地址、地址段。 IP地址组:支持多个IP地址的集合。 地域:支持按照地域防护。 IP地址 源IP地址 “源地址类型”选择“IP地址”时,需填写“源IP地址”。 支持以下输入格式: 单个IP地址,如:192.168.10.5 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10 地址段,使用“/”隔开掩码,如:192.168.2.0/24 说明: 如果您希望输入多个单IP地址或多个IP地址段,需要配置多条规则。这些规则的IP地址(段)不同,其他参数相同。 192.168.10.5 源地址组名称 “源地址类型”选择“IP地址组”时,需填写“源地址组名称”。 支持以下输入格式; 可输入中文、字母、数字、下划线、连接符或空格。 名称长度不能超过255个字符。 s_test 源大洲地域 “源地址类型”选择“地域”时,需填写“源大洲地域”。 您可以切换模板表格至“大洲信息表”页签,查看大洲信息。 AS:亚洲 源国家地域 “源地址类型”选择“地域”时,需填写“源国家地域”。 您可以切换模板表格至“国家信息表”页签,查看国家信息。 CN:中国大陆 目的地址类型 选择访问流量中的接收数据的地址类型。 IP地址:支持设置单个IP地址、连续多个IP地址、地址段。 IP地址组:支持多个IP地址的集合。 域名:由一串用点分隔的英文字母组成(以字符串的形式来表示服务器IP),用户通过域名来访问网站。 域名组:支持 多个域名 的集合。 地域:支持地域防护。 IP地址组 目的IP地址 “目的地址类型”选择“IP地址”时,需填写“目的IP地址”。 目的IP地址支持以下输入格式: 单个IP地址,如:192.168.10.5 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10 地址段,使用“/”隔开掩码,如:192.168.2.0/24 说明: 如果您希望输入多个单IP地址或多个IP地址段,需要配置多条规则。这些规则的IP地址(段)不同,其他参数相同。 192.168.10.6 目的地址组名称 “目的地址类型”选择“IP地址组”时,需填写“目的地址组名称”。 支持以下输入格式; 可输入中文、字母、数字、下划线、连接符或空格。 名称长度不能超过255个字符。 d_test 目的大洲地域 “目的地址类型”选择“地域”时,需填写“目的大洲地域”。 您可以切换模板表格至“大洲信息表”页签,查看大洲信息。 AS:亚洲 目的国家地域 “目的地址类型”选择“地域”时,需填写“目的国家地域”。 您可以切换模板表格至“国家信息表”页签,查看国家信息。 CN:中国大陆 域名 “目的地址类型”选择“域名”时,需填写“域名”。 由一串用点分隔的英文字母组成(以字符串的形式来表示服务器IP),用户通过域名来访问网站。 www.example.com 目的域名组名称 “目的地址类型”选择“域名组”时,需填写“目的域名组名称”。 输入域名组名称。 域名组1 服务类型 选择服务或服务组。 服务:支持设置单个服务。 服务组:支持多个服务的集合。 服务 协议/源端口/目的端口 设置需要限制的类型。 协议类型当前支持:TCP、UDP、ICMP、Any。 设置需要开放或限制的源端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 设置需要开放或限制的目的端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 TCP/443/443 服务组名称 自定义服务组名称。 只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成,且名称长度不能超过255个字符。 service_test 分组标签 用于标识规则,可通过标签实现对安全策略的分类和搜索。 k=a