云防火墙支持将多个IP地址、端口或域名指定成一个地址簿,便于在配置云防火墙访问控制策略时灵活引用多个IP地址、端口或域名的信息。您可根据需要添加受信地址簿或威胁地址簿。本文介绍了地址簿的添加、查看和修改操作。

背景信息

云防火墙的威胁情报功能可将阿里云全网检测到的恶意IP或域名同步到云地址簿,且云防火墙会自动添加您云账号下的DDoS防护实例和WAF实例的回源地址到云地址簿。您在配置云防火墙访问控制策略时,可针对DDoS防护和WAF回源的云地址簿,制定精细化的访问控制策略。

配置访问控制策略时,可灵活引用云防火墙地址簿。支持以下两种方式:
  • 放行受信地址簿中的可信任IP和域名。
  • 快速封禁威胁地址簿中的恶意IP和域名。
说明
  • 多个地址簿可以包含同一个IP地址或端口。
  • 云防火墙会内置一些全局地址簿,且不支持修改和删除内置的全局地址簿。
  • 云防火墙不支持修改和删除云地址簿。
  • 地址簿内IP、域名或端口变动,会自动生效于引用了该地址簿的访问控制策略。

操作步骤

  1. 登录云防火墙控制台
  2. 在左侧导航栏单击安全策略 > 访问控制
  3. 互联网边界防火墙页签,单击右上角的地址簿管理
  4. 在地址簿对话框中,管理地址簿。
    管理地址簿

    支持以下操作:

    • 添加地址簿

      您可根据云防火墙访问控制策略的配置需求添加受信或威胁地址簿。云防火墙支持添加IP地址簿端口地址簿域名地址簿。具体参见添加地址簿

    • 查看编辑地址簿

      IP地址簿/端口地址簿/域名地址簿页签,定位到目标地址簿。单击操作栏的查看编辑可查看并修改地址簿配置项。

      说明 云防火墙不支持修改地址簿类型地址簿名称
    • 查看云地址簿

      云地址簿页签可查看云地址簿的名称、类型、IP地址/域名及其数量、引用次数、描述等信息。

      云地址簿

      单击操作栏的查看可查看云地址簿的配置项信息。

      云地址簿配置
    • 删除地址簿

      IP地址簿/端口地址簿/域名地址簿页签,定位到目标地址簿。单击操作栏的删除并单击确定,可删除您不再需要的地址簿。

      说明 云防火墙不支持删除已被引用的地址簿。

添加地址簿

  1. IP地址簿/端口地址簿/域名地址簿页签单击右上角的新建地址簿
  2. 新建地址簿/新建端口地址簿/新建域名地址簿页面,配置地址簿的配置项(见下表)。
    • IP地址簿IP地址簿配置
    • 端口地址簿端口地址簿配置
    • 域名地址簿域名地址簿配置
    配置项类型 配置项 说明
    IP地址簿 地址簿类型 选择IP地址簿类型。可选:
    • IP地址段
    • ECS标签
    IP地址 输入IP地址段。
    说明 地址簿类型选择IP地址段时显示,多个地址段间用英文逗号隔开。
    ECS标签更新 有新匹配标签的ECS时,是否开启自动添加到当前地址簿。默认开启该功能,且不支持修改。
    说明 地址簿类型选择ECS标签时显示。
    ECS标签 选择当前阿里云账号下已创建的ECS标签及对应标签值。云防火墙自动将具有这些标签的ECS公网IP放到一个地址簿中。

    单击新增一组ECS标签,可添加多个ECS标签。

    添加ECS标签后,会在ECS标签下方显示对应的ECS信息,例如VPC名称、IP地址等。

    端口地址簿 端口 输入端口,多个端口间用英文逗号隔开。
    域名地址簿 域名 输入域名,多个域名间用英文逗号隔开,不可重复。
    通用配置项 地址簿名称 地址簿通用配置项。自定义地址簿名称,建议输入有实际意义的名称以便有效识别并应用该地址簿。
    描述 输入当前地址簿内容和使用场景,便于您识别并应用地址簿。
  3. 单击提交,完成地址簿添加。
    地址簿添加成功后,可在地址簿对话框的对应地址簿页签查看该地址簿的名称、引用次数、描述等信息,或修改、删除该地址簿。

相关文档

互联网边界防火墙访问控制(内外双向流量)

VPC边界防火墙访问控制

入侵防御策略