防護規則支持防護以下幾種場景：

• 防護互聯網邊界中公網資產的流量，請參見“互聯網邊界防護規則”。

• 防護互聯網邊界中私網資產的場景，請參見“NAT流量防護規則”。

• 防護VPC與VPC之間、VPC與線下IDC之間的訪問流量，請參見“VPC邊界防護規則”。

規格限制

僅“專業版”支持VPC邊界防護和NAT流量（私網IP）防護。

約束條件

• CFW不支持應用層網關(Application Level Gateway，ALG)。ALG能夠對應用層數據載荷中的字段進行分析，并針對在載荷中會包含端口和IP地址的多通道協議（例如FTP、SIP等）動態調整策略。但CFW的防護策略僅支持對端口設置靜態策略。如果需要允許多通道協議通信，建議配置一條放通所有端口的規則。

• CFW長連接業務場景限制，配置策略的時候需要同時開啟雙向放通的安全策略，如果只開啟單向策略，部分場景（開啟和關閉防護）需要客戶端重新發起連接。

• 配額限制：

  • 最多添加20000條防護規則。

  • 單條防護規則最大限制如下：

    • 最多添加20條IP地址（源和目的各20條）。

    • 最多關聯2條“IP地址組”（源和目的各2條）。

    • 最多關聯5條服務組。

• 域名防護限制：

  • 域名防護時不支持添加中文域名格式。

  • 網絡型域名組最多只能保存1000個地址解析結果，超出時，可能導致無法正常訪問對應的域名；對于解析結果較多或變化頻繁的域名，如果防護流量是HTTP、HTTPS協議，建議優先使用應用型域名組添加策略。

  • 域名防護依賴于用戶配置的域名服務器。默認域名服務器可能存在域名解析對應的IP地址不全，建議有訪問自身業務相關域名場景時配置“DNS服務器配置”。

• 僅入方向規則（“方向”配置為“外-內”）的“源”地址支持配置“預定義地址組”。

對業務的影響

配置攔截的防護規則時，如果涉及地址轉換或者存在代理的場景，需要謹慎評估攔截IP的影響。

互聯網邊界防護規則

1. 開啟彈性公網IP防護，請參見“開啟互聯網邊界流量防護”。

2. 在左側導航欄中，選擇“訪問控制> 訪問策略管理”，進入“訪問策略管理”頁面。

3. 添加新的防護規則。

   在“互聯網邊界”頁簽中，單擊“添加”，在彈出的“添加防護規則”中，填寫新的防護信息，填寫規則請參見下表。

   參數名稱	參數說明
   規則類型	選擇“EIP規則”：防護EIP的流量，僅支持配置公網IP；配置私網IP請參見“NAT流量防護規則”。
   名稱	自定義安全策略規則的名稱。
   方向	“防護規則”選擇EIP規則時，需要選擇流量的方向： 外-內：互聯網訪問云上資產（EIP）。 內-外：云上資產（EIP）訪問互聯網。
   源	設置會話發起方。 IP地址：填寫公網IP地址，支持設置單個IP地址、多個連續IP地址、地址段。 單個公網IP地址，如：xx.xx.10.5 多個連續的公網IP地址，中間使用“-”隔開，如：xx.xx.0.2-xx.xx.0.10 公網IP地址段，使用"/"隔開掩碼，如：xx.xx.2.0/24 IP地址組：支持多個公網IP地址的集合，添加自定義IP地址組請參見“添加自定義IP地址組和IP地址”，預定義地址組請參見“查看預定義地址組”。 說明 “方向”配置為“外-內”時，“源”地址支持配置“預定義地址組”。 地域：“方向”選擇“外-內”時，支持地理位置防護，通過指定大洲、國家、地區配置防護規則。 Any：任意源地址。
   目的	設置會話接收方。 IP地址：填寫公網IP地址，支持設置單個IP地址、多個連續IP地址、地址段。 單個公網IP地址，如：xx.xx.10.5 多個連續的公網IP地址，中間使用“-”隔開，如：xx.xx.0.2-xx.xx.0.10 公網IP地址段，使用"/"隔開掩碼，如：xx.xx.2.0/24 IP地址組：支持多個公網IP地址的集合，添加自定義IP地址組請參見3.6.6.1 添加自定義IP地址組和IP地址。 地域：“方向”選擇“內-外”時，支持地理位置防護，通過指定大洲、國家、地區配置防護規則。 域名：“方向”選擇“內-外”時，支持多級別單域名（例如，一級域名example.com，二級域名www.example.com等）和泛域名（例如，*.example.com）。 說明 如果域名為單個域名，輸入后需單擊右側“測試”，以測試域名有效性，并進行DNS解析，請參見《云防火墻用戶指南》中“配置DNS解析”章節（目前單個域名解析出的ip地址上限個數為600個）。 如果域名為泛域名，無需DNS解析，僅支持添加http/https的應用類型。 域名組：“方向”選擇“內-外”時，支持多個域名的集合，添加域名組請參見《云防火墻用戶指南》中《添加域名組》。 說明 當您需要防護域名時，建議您優先選擇“域名組”。 Any：任意目的地址。
   服務	服務：設置協議類型、源端口和目的端口。 協議類型：支持選擇TCP、UDP、ICMP。 源/目的端口：“協議類型”選擇“TCP”或“UDP”時，需要設置端口號。 說明 如您需設置該IP地址的全部端口，可配置“端口”為“1-65535”。 如您需設置某個端口，可填寫為單個端口。例如設置22端口的訪問，則配置“端口”為“22”。 如您需設置某個范圍的端口，可填寫為連續端口組，中間使用“-”隔開。例如設置80-443端口的訪問，則配置“端口”為“80-443”。 服務組：支持多個服務（協議、源端口、目的端口）的集合，添加自定義服務組請參見3.6.8.1 添加自定義服務組和服務，預定義服務組請參見3.6.8.2 查看預定義服務組。 Any：任意協議類型和端口號。
   防護動作	設置流量經過防火墻時的處理動作。 放行：防火墻允許此流量轉發。 阻斷：防火墻禁止此流量轉發。
   啟用狀態	設置該策略是否立即啟用。 ：表示立即啟用，規則生效。 ：表示立即關閉，規則不生效。
   策略優先級	設置該策略的優先級： 置頂：表示將該策略的優先級設置為最高。 移動至選中規則后：表示將該策略優先級設置到某一規則后。 說明 設置后，優先級數字越小，策略的優先級越高。 添加的第一條防護規則默認優先級是1，無需選擇“策略優先級”。
   時間計劃管理	（可選）單擊“時間計劃管理”設置規則的生效時間段，選擇已設置的時間計劃或“新增時間計劃”。
   配置長連接	當前防護規則僅配置一個“服務”且“協議類型”選擇“TCP”或“UDP”時，可配置業務會話老化時間。 是：設置長連接時長。 否：保留默認時長，各協議規則默認支持的連接時長如下： TCP協議：1800s。 UDP協議：60s。 說明 最大支持50條規則設置長連接。
   長連接時長	“配置長連接”選擇“是”時，需要配置此參數。 設置長連接時長。輸入“時”、“分”、“秒”。 說明 支持時長設置為1秒~1000天。
   標簽	（可選）用于標識規則，可通過標簽實現對安全策略的分類和搜索。
   描述	（可選）標識該規則的使用場景和用途，以便后續運維時快速區分不同規則的作用。

4. 單擊“確認”，完成配置防護規則。

VPC邊界防護規則

1. 開啟VPC邊界防火墻防護，請參見“開啟VPC邊界流量防護”。

2. 在左側導航欄中，選擇“訪問控制> 訪問策略管理”，選擇“VPC邊界”頁簽，進入VPC邊界管理頁面。

3. 添加新的防護規則。

   單擊“添加”按鈕，在彈出的“添加防護規則”中，填寫新的防護信息，填寫規則請參見下表。

   參數名稱	參數說明
   名稱	自定義安全策略規則的名稱。
   方向	無需選擇，VPC間防護規則。
   源	設置會話發起方。 IP地址：支持設置單個IP地址、多個連續IP地址、地址段。 單個IP地址，如：192.168.10.5 多個連續IP地址，中間使用“-”隔開，如：192.168.0.2-192.168.0.10 地址段，使用"/"隔開掩碼，如：192.168.2.0/24 IP地址組：支持多個IP地址的集合，添加IP地址組請參見“添加自定義IP地址組和IP地址”。 Any：任意源地址。
   目的	設置會話接收方。 IP地址：支持設置單個IP地址、多個連續IP地址、地址段。 單個IP地址，如：192.168.10.5 多個連續IP地址，中間使用“-”隔開，如：192.168.0.2-192.168.0.10 地址段，使用"/"隔開掩碼，如：192.168.2.0/24 IP地址組：支持多個IP地址的集合，添加IP地址組請參見“添加自定義IP地址組和IP地址”。 Any：任意目的地址。
   服務	設置訪問流量的“協議類型”和“端口號”。 服務：設置協議類型、源端口和目的端口。 協議類型：支持選擇TCP、UDP、ICMP。 源/目的端口：“協議類型”選擇“TCP”或“UDP”時，需要設置端口號。 說明 如您需設置該IP地址的全部端口，可配置“端口”為“1-65535”。 如您需設置某個端口，可填寫為單個端口。例如設置22端口的訪問，則配置“端口”為“22”。 如您需設置某個范圍的端口，可填寫為連續端口組，中間使用“-”隔開。例如設置80-443端口的訪問，則配置“端口”為“80-443”。 服務組：支持多個服務（協議、源端口、目的端口）的集合，添加自定義服務組請參見3.6.8.1 添加自定義服務組和服務，預定義服務組請參見3.6.8.2 查看預定義服務組。 Any：任意協議類型和端口號。
   防護動作	設置流量經過防火墻時的處理動作。 放行：防火墻允許此流量轉發。 阻斷：防火墻禁止此流量轉發。
   啟用狀態	設置該策略是否立即啟用。 ：表示立即啟用，規則生效。 ：表示立即關閉，規則不生效。
   策略優先級	設置該策略的優先級： 置頂：表示將該策略的優先級設置為最高。 移動至選中規則后：表示將該策略優先級設置到某一規則后。 說明 設置后，優先級數字越小，策略的優先級越高。 添加的第一條防護規則默認優先級是1，無需選擇“策略優先級”。
   時間計劃管理	（可選）單擊“時間計劃管理”設置規則的生效時間段，選擇已設置的時間計劃或“新增時間計劃”。
   配置長連接	當前防護規則僅配置一個“服務”且“協議類型”選擇“TCP”或“UDP”時，可配置業務會話老化時間。 是：設置長連接時長。 否：保留默認時長，各協議規則默認支持的連接時長如下： TCP協議：1800s。 UDP協議：60s。 說明 最大支持50條規則設置長連接。
   長連接時長	“配置長連接”選擇“是”時，需要配置此參數。 設置長連接時長。輸入“時”、“分”、“秒”。 說明 支持時長設置為1秒~1000天。
   標簽	（可選）用于標識規則，可通過標簽實現對安全策略的分類和搜索。
   描述	（可選）標識該規則的使用場景和用途，以便后續運維時快速區分不同規則的作用。

4. 單擊“確認”，完成配置防護規則。

NAT流量防護規則

1. 開啟NAT流量防護，請參見“開啟NAT網關流量防護”。

2. 在左側導航欄中，選擇“訪問控制> 訪問策略管理”，進入“訪問策略管理”頁面。

3. 添加新的防護規則。

   單擊“添加”，在彈出的“添加防護規則”中，填寫新的防護信息。

   • DNAT場景填寫規則請參見下表

     參數名稱	參數說明
     規則類型	選擇NAT規則： 防護NAT網關的流量，支持配置私網IP。 說明 NAT規則需滿足： “專業版”防火墻。 已配置VPC邊界防火墻。
     名稱	自定義安全策略規則的名稱。
     方向	選擇“DNAT”。
     源	設置會話發起方。 IP地址：填寫私網IP地址，支持設置單個IP地址、多個連續IP地址、地址段。 單個IP地址，如：192.168.10.5 多個連續IP地址，中間使用“-”隔開，如：192.168.0.2-192.168.0.10 地址段，使用"/"隔開掩碼，如：192.168.2.0/24 IP地址組：支持多個私網IP地址的集合，添加IP地址組請參見“添加自定義IP地址組和IP地址”。 地域：支持地理位置防護，通過指定大洲、國家、地區配置防護規則。 Any：任意源地址。
     目的	設置會話接收方。 IP地址：填寫私網IP地址，支持設置單個IP地址、多個連續IP地址、地址段。 單個IP地址，如：192.168.10.5 多個連續IP地址，中間使用“-”隔開，如：192.168.0.2-192.168.0.10 地址段，使用"/"隔開掩碼，如：192.168.2.0/24 IP地址組：支持多個私網IP地址的集合，添加IP地址組請參見《云防火墻用戶指南》中《添加IP地址組》。 Any：任意目的地址。
     服務	服務：設置協議類型、源端口和目的端口。 協議類型：支持選擇TCP、UDP、ICMP。 源/目的端口：“協議類型”選擇“TCP”或“UDP”時，需要設置端口號。 說明 如您需設置該IP地址的全部端口，可配置“端口”為“1-65535”。 如您需設置某個端口，可填寫為單個端口。例如設置22端口的訪問，則配置“端口”為“22”。 如您需設置某個范圍的端口，可填寫為連續端口組，中間使用“-”隔開。例如設置80-443端口的訪問，則配置“端口”為“80-443”。 服務組：支持多個服務（協議、源端口、目的端口）的集合，添加自定義服務組請參見“添加自定義服務組和服務”，預定義服務組請參見“查看預定義服務組”。 Any：任意協議類型和端口號。
     防護動作	設置流量經過防火墻時的處理動作。 放行：防火墻允許此流量轉發。 阻斷：防火墻禁止此流量轉發。
     啟用狀態	設置該策略是否立即啟用。 ：表示立即啟用，規則生效。 ：表示立即關閉，規則不生效。
     策略優先級	設置該策略的優先級： 置頂：表示將該策略的優先級設置為最高。 移動至選中規則后：表示將該策略優先級設置到某一規則后。 說明 設置后，優先級數字越小，策略的優先級越高。 添加的第一條防護規則默認優先級是1，無需選擇“策略優先級”。
     時間計劃管理	（可選）單擊“時間計劃管理”設置規則的生效時間段，選擇已設置的時間計劃或“新增時間計劃”。
     配置長連接	當前防護規則僅配置一個“服務”且“協議類型”選擇“TCP”或“UDP”時，可配置業務會話老化時間。 是：設置長連接時長。 否：保留默認時長，各協議規則默認支持的連接時長如下： TCP協議：1800s。 UDP協議：60s。 說明 最大支持50條規則設置長連接。
     長連接時長	“配置長連接”選擇“是”時，需要配置此參數。 設置長連接時長。輸入“時”、“分”、“秒”。 說明 支持時長設置為1秒~1000天。
     標簽	（可選）用于標識規則，可通過標簽實現對安全策略的分類和搜索。
     描述	（可選）標識該規則的使用場景和用途，以便后續運維時快速區分不同規則的作用。

   • SNAT場景填寫規則請參見下表

     參數名稱	參數說明
     規則類型	選擇NAT規則： 防護NAT網關的流量，支持配置私網IP。 說明 NAT規則需滿足： “專業版”防火墻。 已配置VPC邊界防火墻。
     名稱	自定義安全策略規則的名稱。
     方向	選擇“SNAT”。
     源	設置會話發起方。 IP地址：填寫私網IP地址，支持設置單個IP地址、多個連續IP地址、地址段。 單個IP地址，如：192.168.10.5 多個連續IP地址，中間使用“-”隔開，如：192.168.0.2-192.168.0.10 地址段，使用"/"隔開掩碼，如：192.168.2.0/24 IP地址組：支持多個私網IP地址的集合，添加IP地址組請參見“添加自定義IP地址組和IP地址”。 地域：支持地理位置防護，通過指定大洲、國家、地區配置防護規則。 Any：任意源地址。
     目的	設置會話接收方。 IP地址：填寫私網IP地址，支持設置單個IP地址、多個連續IP地址、地址段。 單個IP地址，如：192.168.10.5 多個連續IP地址，中間使用“-”隔開，如：192.168.0.2-192.168.0.10 地址段，使用"/"隔開掩碼，如：192.168.2.0/24 IP地址組：支持多個私網IP地址的集合，添加IP地址組請參見“添加自定義IP地址組和IP地址”。 地域：支持地理位置防護，通過指定大洲、國家、地區配置防護規則。 Any：任意目的地址。
     服務	服務：設置協議類型、源端口和目的端口。 協議類型：支持選擇TCP、UDP、ICMP。 源/目的端口：“協議類型”選擇“TCP”或“UDP”時，需要設置端口號。 說明 如您需設置該IP地址的全部端口，可配置“端口”為“1-65535”。 如您需設置某個端口，可填寫為單個端口。例如設置22端口的訪問，則配置“端口”為“22”。 如您需設置某個范圍的端口，可填寫為連續端口組，中間使用“-”隔開。例如設置80-443端口的訪問，則配置“端口”為“80-443”。 服務組：支持多個服務（協議、源端口、目的端口）的集合，添加自定義服務組請參見“添加自定義服務組和服務”，預定義服務組請參見“查看預定義服務組”。 Any：任意協議類型和端口號。
     防護動作	設置流量經過防火墻時的處理動作。 放行：防火墻允許此流量轉發。 阻斷：防火墻禁止此流量轉發。
     啟用狀態	設置該策略是否立即啟用。 ：表示立即啟用，規則生效。 ：表示立即關閉，規則不生效。
     策略優先級	設置該策略的優先級： 置頂：表示將該策略的優先級設置為最高。 移動至選中規則后：表示將該策略優先級設置到某一規則后。 說明 設置后，優先級數字越小，策略的優先級越高。 添加的第一條防護規則默認優先級是1，無需選擇“策略優先級”。
     配置長連接	當前防護規則僅配置一個“服務”且“協議類型”選擇“TCP”或“UDP”時，可配置業務會話老化時間。 是：設置長連接時長。 否：保留默認時長，各協議規則默認支持的連接時長如下： TCP協議：1800s。 UDP協議：60s。 說明 最大支持50條規則設置長連接。
     長連接時長	“配置長連接”選擇“是”時，需要配置此參數。 設置長連接時長。輸入“時”、“分”、“秒”。 說明 支持時長設置為1秒~1000天。
     標簽	（可選）用于標識規則，可通過標簽實現對安全策略的分類和搜索。
     描述	（可選）標識該規則的使用場景和用途，以便后續運維時快速區分不同規則的作用。

4. 單擊“確認”，完成配置防護規則。

   說明

   訪問控制策略默認狀態為放行。

相關操作

批量添加防護規則請參見“導入/導出防護策略”。