规则组
下载
聚焦模式
字号
功能简介
规则组用于集中创建、编排和维护可复用的规则集合。支持云防火墙规则组管理,涵盖互联网边界规则、NAT 边界规则、VPC 边界规则及企业安全组规则。支持对规则组及其内部规则进行全生命周期的精细化管控,包括新建、编辑、排序、筛选和批量操作,为后续的跨账号规则下发流程提供规则基础。
操作步骤
新建规则组
1. 登录 防火墙管理控制台,在左侧导航中,选择规则组。
2. 在规则组管理页面,选择需要新建规则组的目标产品,单击新建规则组。
3. 在新建规则组页面,配置以下参数:
(组内)优先级:按添加顺序自动赋值为 1、2、3…,数字越小优先级越高。优先级数字不可直接编辑,仅能通过拖动行首的
IP 类型(VPC 边界、企业安全组支持):选择规则生效的 IP 类型。
生效范围
互联网边界:串行防火墙。
NAT 边界:当前规则生效的地域或防火墙实例。
VPC 边界:当前规则生效的防火墙实例。
企业安全组:安全组或轻量应用服务器防火墙。
访问源和访问目的
IP 地址:直接输入任意 IP 地址或 CIDR 格式地址,例如
10.10.10.10或10.10.10.10/24。支持多个对象使用逗号分隔。注意:
输入
0.0.0.0/0时,后台会自动关联全部公网 IP,输入 CIDR 地址时同理,仅对该网段内的公网 IP 生效。VPC 边界规则中若填写本端 VPC 或对端 VPC 的 CIDR 以外的地址,则规则无法生效。
域名(互联网边界、NAT 边界、VPC 边界支持):域名匹配支持标准域名格式及通配符形式,具体匹配模式如下:
FQDN匹配:基于应用层报文中的 Host 头部字段或 SNI 扩展字段进行标识匹配。
宽松匹配:满足 FQDN 匹配规则,或访问的客户端 IP 属于该域名当前 DNS 解析结果中的任一 IP 地址。满足任一条件即可命中。
严格匹配:满足 FQDN 匹配规则,和访问的客户端IP属于该域名当前 DNS 解析结果中的任一 IP 地址。同时满足两个条件即可命中。
注意:
输入
*时,后台会自动关联全部域名。输入泛域名(如
*.example.com)时,后台会自动关联以*开头的全部二级域名。地址模板(互联网边界、NAT 边界、VPC 边界支持):从已创建的 IP 地址模板中选择。自定义地址模板可参考 地址模板。
参数模板(企业安全组支持):用户自定义设置的参数模板。
资产实例(互联网边界、NAT 边界、VPC 边界支持):选择具体实例为访问目的。
资源标签(互联网边界、NAT 边界、VPC 边界支持):根据资源的标签来选择访问目的,标签内实例的公网 IP 会匹配对应边界规则。
地理位置(互联网边界、NAT 边界支持):为 IP 对应的实际地理位置,包含中国大陆地区各个省、中国港澳台地区及海外的各个洲。
资产地域(企业安全组支持):选择具体地域。
目的端口:手动进行目的端口填写或在已有端口模板协议内容中选择所需的地址模板。自定义端口协议模板可参考地址模板。
支持单端口号、基于'/'的端口段以及英文逗号分隔的离散端口值。
目的端口实例 | 说明 |
-1/-1 | 表示全部端口。 |
80 | 表示 80 端口。 |
80,443,3389 | 表示对 80、443、3389 三个端口生效。 |
80/443 | 表示对 80 到 443 之间的全部端口生效。 |
80/443,3389 | 表示对 80 到 443 之间全部端口与 3389 端口生效。 |
协议
互联网边界
方向 | 访问目的类型 | 支持的协议 |
入向 | IP 地址 | ANY、TCP、UDP、ICMP、FTP(仅支持精确 IP) |
ANY、TCP、UDP、ICMP\\HTTP/HTTPS、HTTP、HTTPS、SMTP/SMTPS、SMTP、SMTPS、DNS(仅支持域名)、FTP(仅支持精确 IP) | 域名 > FQDN 匹配、地址模板 > 域名地址模板 | ANY、HTTP/HTTPS、HTTP、HTTPS、SMTP/SMTPS、SMTP、SMTPS、DNS(仅支持域名) |
| 域名 > 宽松匹配、域名 > 严格匹配 | 不支持 |
| 资产实例、资源标签、地址模板 > IP 地址模板 | ANY、TCP、UDP、ICMP、FTP |
出向 | IP 地址 | ANY、TCP、UDP、ICMP、FTP(仅支持精确 IP) |
| 域名 > FQDN 匹配、地址模板 > IP 地址模板 | ANY、HTTP/HTTPS、HTTP、HTTPS、SMTP/SMTPS、SMTP、SMTPS、DNS(仅支持域名) |
| 域名 > 宽松匹配、域名 > 严格匹配 | TCP、UDP |
| 地理位置、地址模板 > IP 地址模板 | ANY、TCP、UDP、ICMP |
NAT 边界
方向 | 访问目的类型 | 支持的协议 |
入向 | IP 地址、资产实例、资源标签、地址模板 > IP 地址模板 | ANY、TCP、UDP |
| 地址模板 > 域名地址模板 | 不支持 |
出向 | IP 地址 | ANY、TCP、UDP、ICMP、FTP(仅支持精确 IP) |
| 地理位置、地址模板 > IP 地址模板 | ANY、TCP、UDP、ICMP |
| 域名 > FQDN 匹配、地址模板 > 域名地址模板 | ANY、HTTP/HTTPS、HTTP、HTTPS、SMTP/SMTPS、SMTP、SMTPS、DNS(仅支持域名) |
| 域名 > 宽松匹配、域名 > 严格匹配 | TCP、UDP |
VPC 边界
访问目的类型 | 支持的协议 |
IP 地址 | ANY、TCP、UDP、ICMP、FTP(仅支持精确 IP) |
资产实例、资源标签、地址模板 > IP地址模板 | ANY、TCP、UDP、ICMP |
域名 > FQDN 匹配、地址模板 > 域名地址模板 | ANY、HTTP/HTTPS、HTTP、HTTPS、SMTP/SMTPS、SMTP、SMTPS、DNS(仅支持域名) |
域名 > 宽松匹配、域名 > 严格匹配 | TCP、UDP |
企业安全组:支持 ANY、TCP、UDP、ICMP 协议。
策略
放行(企业安全组为允许):放通命中规则的流量,记录命中次数但不记录访问控制日志,且记录流量日志。
观察:放通命中规则的流量,记录命中次数并记录访问控制日志与流量日志。
阻断(企业安全组为拒绝):拦截命中规则的流量,记录命中次数并记录访问控制日志,流量日志记录流量的一个请求数据包信息。
描述:用于描述规则,最多支持 50 个字符。
4. 若已编辑完成前方规则,而后方待配置规则与前者相似,可通过使用复制功能快速生成新规则,随后根据实际需求调整细节即可。
单击操作栏的 
单击下方的 
说明
一个规则组单次最多支持添加10条规则。
5. 确认无误后,单击确定完成配置。
说明:
规则创建后不会立即生效,请前往规则管理 页面,手动下发规则以使其生效。
基于 IP 配置的风险提示:在资产 IP 不重复的情况下,您可通过 IP 地址快捷配置安全组规则。但需注意:若某 IP 绑定了多个实例,该 IP 的规则将对其下所有实例生效。后续如因资产变更导致该 IP 对应了新的实例,此规则也将自动扩展至所有关联实例。
管理规则组
删除规则组
单条删除:在目标规则组的操作列中,单击删除。
批量删除:先勾选多个规则组,再单击列表上方的批量删除。
编辑规则组
在目标规则组的操作列中,单击编辑,可进入编辑页面。
该页面分为两部分:
基础信息:仅支持单击 
规则信息:支持对当前规则组内的所有规则进行新增、查询、修改、删除及排序等操作。
查询规则:支持组合多种资源属性来筛选和查询规则。
新建规则:单击新建规则,可在本组内新增一条规则,参数说明请参考 新建规则组。
编辑规则:单击目标规则操作列的编辑,可修改该规则的详细配置。
删除规则:单击目标规则操作列的删除,可删除该规则;勾选多个规则后,可单击批量删除删除多个规则。
快速排序:规则在列表中的自上而下顺序代表其优先级从高到低。如需调整,请按以下步骤操作:
a. 单击列表上方的快速排序。
b. 将鼠标悬停在需调整的规则行上,光标变为拖动图标时,按住左键上下拖动。
c. 调整至目标位置后,单击保存。列表上方规则的优先级高于下方规则,系统会自动更新优先级数值。
文档反馈