開啟防護后，云防火墻默認放行所有流量，您可以通過配置黑/白名單規則，攔截/放行IP地址的訪問請求。

本文指導您添加單個黑白名單，如果需要批量添加黑白名單請參見“導入/導出防護策略”。

規格限制

• 云防火墻最多支持配置2000條黑名單和2000條白名單，當您黑名單IP或白名單IP超出限制時，可通過添加IP地址組，并在防護規則中引用的方式實現攔截/放行效果。

• 添加IP地址組請參見“添加自定義IP地址組和IP地址”。

• 添加防護規則請參見“通過添加防護規則攔截/放行流量”。

• 私網IP防護，需滿足專業版防火墻且“開啟VPC邊界流量防護防護”。

系統影響

• 將IP或IP地址段配置為黑名單/白名單后，來自該IP或IP地址段的訪問，CFW將不會做任何檢測，直接攔截（黑名單）/放行（白名單），您可以在“日志查詢”中檢索該IP或IP地址段查看訪問情況和流量情況。

• 配置黑名單時，如果涉及地址轉換或者存在代理的場景，需要謹慎評估攔截IP的影響。

通過添加黑白名單攔截/放行流量

1. 登錄管理控制臺。

2. 在左側導航欄中，單擊左上方的，選擇“安全> 云防火墻”，進入云防火墻的總覽頁面。

3. （可選）當前賬號下僅存在單個防火墻實例時，自動進入防火墻詳情頁面，存在多個防火墻實例時，單擊防火墻列表“操作”列的“查看”，進入防火墻詳情頁面。

4. 在左側導航欄中，選擇“訪問控制> 訪問策略管理”，進入“訪問策略管理”界面。切換防護對象頁簽后，選擇“黑名單”或“白名單”頁簽。

5. 單擊“添加”，設置地址方向、IP地址、協議類型、端口，填寫規則請參見下表。

   參數名稱	參數說明
   地址方向	選擇“源地址”或“目的地址”。 源地址：設置會話發起方。 目的地址：設置會話接收方。
   協議類型	協議類型當前支持：TCP、UDP、ICMP、Any。
   端口	“協議類型”選擇“TCP”或“UDP”時，設置需要放行或攔截的端口。 說明 如您需設置該IP地址的全部端口，可配置“端口”為“1-65535”。 如您需設置某個端口，可填寫為單個端口。例如放行/攔截該IP地址22端口的訪問，則配置“端口”為“22”。 如您需設置某個范圍的端口，可填寫為連續端口組，中間使用“-”隔開。例如放行/攔截該IP地址80-443端口的訪問，則配置“端口”為“80-443”。
   描述	設置該黑/白名單的備注信息。

6. 單擊“確認”，完成添加。

相關操作

• 編輯和刪除黑白名單請參見“管理黑白名單”。

• 批量添加黑白名單請參見“導入/導出防護策略”。