地址簿管理

您可以将众多IP地址(包括IPv4和IPv6)、端口或域名统一添加到地址簿中,然后在访问控制策略中一键引用地址簿,实现高效地管控指定对象群体的网络流量。使用地址簿可以简化在多条访问控制策略中重复设置相同目标的流程,并且地址簿中的更新都会自动同步到相关的访问控制策略,无需手动重新配置,帮助您提高策略调整的响应速度和管理的整体效率。

地址簿类型

云防火墙提供自定义地址簿和智能推荐地址簿,您可以灵活地自定义并应用各类地址簿,满足业务的多样性和安全需求。

地址簿类型

说明

自定义地址簿

自行创建的地址簿,支持自定义IPv4地址簿、IPv6地址簿、端口地址簿、域名地址簿。

最多支持添加5,000个自定义地址簿。单个地址簿支持添加的对象数量限制如下:

  • IPV4地址簿:单个地址簿最多支持添加2,000个IPv4地址或500个ECS标签。

  • IPV6地址簿:单个地址簿最多支持添加2,000个IPv6地址。

  • 端口地址簿:单个地址簿最多支持添加50个端口。

  • 域名地址簿:单个地址簿最多支持添加2,000个域名。

说明

同一个对象可以被添加到多个地址簿,例如,同一个IPv4地址可以分别添加到两个不同的地址簿中。

智能推荐地址簿

云防火墙内置的地址簿,您可以在配置访问控制策略时直接引用,不支持修改或删除。内置的地址簿分为云服务地址簿和威胁情报地址簿。

说明

智能推荐地址簿会定期自动更新,更新的结果会自动生效到关联的访问控制策略。不同地址簿的自动更新时间不同,云服务地址簿自动更新时间为10分钟~100分钟不等;威胁情报地址簿自动更新时间为1天。

  • 云服务地址簿包含阿里云服务平台内部服务的回源地址,例如云安全中心漏洞扫描器地址、账号下所有ECS的公网IP地址、DDoS防护实例的回源地址、WAF实例回源地址等。

    如果云服务地址簿被禁用,可能会对相应产品的正常运作产生影响,建议您放行所有云服务地址簿。

  • 威胁情报地址簿列表包含了阿里云检测出的恶意IP或域名地址簿和域名和常用网站地址簿。

    • 恶意IP或域名地址簿信息通常由安全研究人员和自动化系统通过分析网络攻击、恶意软件活动等获取并不断更新。封禁恶意地址簿可以帮助您阻断与已知恶意源的通信,增强系统的安全性,建议您封禁所有恶意地址簿。

    • 常用网站地址簿包含访问频率较高的网站,如常用在线文档网站、社交网站、云盘网站地址。通过配置访问控制策略,企业管理员可以轻松允许或阻止对这些常用网站的访问。

      适用于企业需要管理员工的上网行为,确保网络带宽优先用于业务关键活动,或者出于合规和安全监管的要求需要限制访问某些特定网站等场景。

    说明

    威胁情报地址簿每隔一天自动更新一次。

创建自定义地址簿

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择访问控制 > 地址簿管理

  3. 地址簿管理页面,单击自定义地址簿页签,然后单击需要创建的地址簿类型对应的页签。

  4. 进入IPV4地址簿IPV6地址簿端口地址簿域名地址簿页签,单击新建地址簿,然后配置地址簿。

    创建IPv4地址簿

    创建IPv4地址簿时,您可以选择通过IP地址或ECS标签方式创建。

    • IP地址:手动输入IPv4地址进行添加。

    • ECS标签:如果您需要添加多个ECS的公网IP地址,并且您已经为这些ECS配置了标签,您可以通过ECS标签实现快速添加。

      说明

      云防火墙每隔100分钟自动更新ECS标签地址簿,并生效到引用ECS标签地址簿的访问控制策略。

    地址簿类型

    配置项

    说明

    IP地址

    地址簿名称

    自定义地址簿名称。建议输入有实际意义的名称,方便您有效识别并应用该地址簿。

    IP地址

    按照CIDR格式,输入IPv4地址,例如100.100.XX.XX/32。多个地址之间用半角逗号(,)分隔。

    描述

    输入当前地址簿内容和使用场景。便于您识别并应用地址簿。

    ECS标签

    地址簿名称

    自定义地址簿名称。建议输入有实际意义的名称,方便您有效识别并应用该地址簿。

    ECS标签更新

    有新匹配标签的ECS时,会自动添加到当前地址簿。默认开启该功能,暂不支持关闭。

    ECS标签

    选择需要的ECS标签及对应标签值。

    如果需要添加的ECS绑定了不同的标签,您可以单击新增一组ECS标签,添加多组不同标签对应的ECS的公网IP。

    ECS标签的更多内容,请参见编辑实例标签

    描述

    输入当前地址簿内容和使用场景。便于您识别并应用地址簿。

    创建IPv6地址簿

    配置项

    说明

    地址簿名称

    自定义地址簿名称。建议输入有实际意义的名称,方便您有效识别并应用该地址簿。

    IP地址

    输入IPv6地址段,例如2001:3caf:10f:****:****/56 。 多个地址之间用半角逗号(,)分隔。

    描述

    输入当前地址簿内容和使用场景。便于您识别并应用地址簿。

    创建端口地址簿

    配置项

    说明

    地址簿名称

    自定义地址簿名称。建议输入有实际意义的名称,方便您有效识别并应用该地址簿。

    端口

    输入端口范围,端口取值为0~65535。多个地址之间用半角逗号(,)分隔。

    • 端口格式为开始端口/结束端口,例如,22/25表示端口22、23、24、25;80/80表示端口80。

    • 0/0表示所有端口。

    描述

    输入当前地址簿内容和使用场景。便于您识别并应用地址簿。

    创建域名地址簿

    配置项

    说明

    地址簿名称

    自定义地址簿名称。建议输入有实际意义的名称,方便您有效识别并应用该地址簿。

    描述

    输入当前地址簿内容和使用场景。便于您识别并应用地址簿。

    域名

    输入域名或泛域名。多个地址之间用半角逗号(,)分隔。

    说明
    • 访问控制策略的目的类型为泛域名时,应用仅支持HTTP、HTTPS、SSL、SMTP、SMTPS。

    • 如果您在NAT边界访问控制策略中引用泛域名地址簿,域名识别模式仅支持基于FQDN(报文提取Host/SNI)

  5. 单击确定,完成地址簿添加。

    地址簿添加成功后,您可以在地址簿列表,查看地址簿信息、修改地址簿、删除地址簿等。

    说明

    不支持修改地址簿类型,并且不支持删除已被引用的自定义地址簿。

查看智能推荐地址簿

智能推荐地址簿只支持查看,不支持创建、修改等操作。

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择访问控制 > 地址簿管理

  3. 单击智能推荐地址簿页签,查看云防火墙内置的地址簿列表。

    image

  4. 目标地址簿右侧操作列单击查看,查看地址簿的详细信息。