访问控制
最后更新时间:2025-06-23 18:07:50
未配置任何规则时,云防火墙默认规则是放行还是拦截?
云防火墙默认放行所有流量,打开云防火墙开关后,云防火墙会开始记录流量日志并产生入侵防御告警,但由于没有配置规则,所以此时不会阻断任何流量。
云防火墙 CFW 如何配置实现只允许访问放行的端口?
1. 开启互联网防火墙后,单击选择 访问控制 > 互联网边界规则 > 入站规则,进入入站规则页面。
2. 在入站规则页面中,单击添加规则放行您需要的端口,同时添加一条阻断所有端口的规则即可。
说明:
互联网防火墙在无规则的情况下默认放行所有流量。
配置访问控制规则后,需要多长时间生效?
云防火墙配置规则后,需要10秒到1分钟左右使规则生效。
云墙支持通过域名进行访问控制么?
互联网防火墙和 NAT 防火墙均支持在出站规则中使用域名,VPC 间防火墙也支持域名访问控制规则。
云防火墙支持通过域名来配置限制策略吗?
目前中国大陆和中国香港地区资产支持通过域名来配置限制策略。
云防火墙是否有地域封禁功能?
企业版及以上版本有地域封禁功能。
在云防火墙添加入站规则时,无法选择部分地址模板的原因是什么?
无论是入站的访问源还是访问目的,都无法选择域名模板。出站的访问源无法选择域名模板,但访问目的可以选择,这是因为入站的来源不可能会是域名。
云防火墙(CFW)的访问控制与私有网络(VPC)中安全组的功能有何不同?
VPC 安全组功能较为有限,通常用于为服务器特定服务设置白名单。推荐使用 CFW 的企业安全组,它支持智能算法来统一部署策略。
云防是否支持防护 UDP 协议?
NAT 边界防火墙、企业安全组、VPC 间防火墙支持 UDP 防护,互联网边界旁路墙不支持。
NAT 防火墙规则条目可以扩展多少条?
可以扩展到2万条。
为什么在互联网边界防火墙配置禁止境外地域访问后,告警中心仍然产生观察规则条目?
1. 如果 ACL 日志中未发现相应的阻断请求,需要检查是否存在其他优先级更高的放行规则。
2. 如果 ACL 日志中记录了相应的阻断请求,这可能是由于旁路抢答机制引起的。如果担心此问题,可以在告警中心手动封禁所有来自境外的攻击告警。
为什么配置了访问控制规则后,有些请求仍然出现在告警中心展示且未被拦截?
可能是访问控制规则尚未生效。
在访问控制规则已生效的情况下,可能是由于互联网边界防火墙的旁路漏包现象导致。旁路防火墙通过镜像网络流量进行分析,其中一部分流量可能被入侵防御系统匹配并产生告警,但实际上这些访问请求已经被拦截。
云防火墙的访问控制支持配置特定生效时间段吗?
开启 NAT 防火墙访问控制的长连接有哪些使用限制?
1. 引擎需要保持最新,建议进行更新,详情请参见 防火墙引擎升级。
2. 最大连接数受到带宽规格的限制,详情请参见 防火墙常见问题。
当获得域名后,如果该域名解析的 IP 与现有 IP 规则发生冲突,应如何处理?
处理优先级较高的规则。
云防火墙域名限制规则下发为 IP 后,攻击者能否通过修改 host 绕过?
云防火墙基于权威 DNS 解析生成的 IP 规则进行拦截,攻击者修改本地 host 不影响规则生效,因此无法绕过。
文档反馈