AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页 云防火墙 云防火墙CFW 操作指南 防护配置 地址簿

地址簿

更新时间:
复制为 MD 格式
产品详情
我的收藏

地址簿用于集中管理IP地址(支持IPv4IPv6)、端口或域名,并可在访问控制策略中直接引用,实现对指定对象群体网络流量的高效管控。通过地址簿,可避免在多条策略中重复配置相同目标;地址簿内容更新后,所有引用该地址簿的策略将自动同步变更,无需手动调整,从而提升策略响应速度与管理效率。

地址簿类型

云防火墙提供以下三类地址簿,支持灵活配置以满足多样化的业务与安全需求:

1. IP地址簿
用于管理一组IP地址,支持IPv4IPv6。分为以下三种类型: 

  • 自定义IP地址簿:手动输入IP地址,单个地址簿最多支持2,000IPv4IPv6地址。 

  • 云资产IP地址簿:基于所选资产类型,自动聚合账号下对应的公网资产IP地址,无需手动输入。 

  • 云服务IP地址簿:预置阿里云内部服务的回源IP地址(如云安全中心漏洞扫描器、WAF实例回源地址等),仅用于引用,不支持修改或自定义。

2. 域名地址簿
用于管理一组域名,分为以下两种类型: 

  • 自定义域名地址簿:手动输入域名,单个地址簿最多支持2,000个域名。 

  • 云服务域名地址簿:预置阿里云可信域名及常用在线文档网站等公共域名,仅用于引用,不支持修改或自定义。

3. 端口簿
用于管理一组端口,手动输入端口范围,单个端口簿最多支持2,000个端口范围。

创建地址簿

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择防护配置 > 地址簿

  3. 地址簿页面,根据需要创建的地址簿类型,单击对应的地址簿页签。

IP地址簿

自定义IP地址簿

进入IP地址簿 > 自定义IP地址簿页签,单击新建自定义IP地址簿,完成如下配置项:

配置项

说明

地址簿名称地址簿描述

为自定义地址簿设置名称和描述。建议使用具有实际意义的名称,并说明其适用场景,以便准确识别和高效应用该地址簿。

IP类型

选择IPv4IPv6。

自定义IP

输入IPv4IPv6地址段,多个地址之间用半角逗号(,)或者换行符分隔。 可通过空格分隔添加描述,最大长度64。

  • IPv4地址示例:100.100.100.100/32

  • IPv6地址示例:2001:3ca1:10f::/56

云资产IP地址簿

进入IP地址簿 > 云资产IP地址簿页签,单击新建云资产IP地址簿,完成如下配置项:

  • 地址簿名称地址簿描述:为自定义地址簿设置名称和描述。建议使用具有实际意义的名称,并说明其适用场景,以便准确识别和高效应用该地址簿。

  • 资产类型:支持以下三类。

    • 公网资产:按资产类型自动聚合本账号下所有相关公网IP,包括弹性公网IP(EIP)、ECS公网IP、负载均衡公网IP、堡垒机IP等。启用多账号统一管理后,还可纳入其他账号下的相应资产。

    • ACK资产:添加容器服务ACK集群的IP地址,使用前需要先创建ACK集群同步节点

    • ECS标签:基于ECS实例的标签筛选具备公网IP的实例,适用于仅需纳入部分ECS实例的场景。

    公网资产

    • 资产账号:选择目标资产所在的阿里云账号。若需纳入其他账号下的资产,需先配置多账号统一管理。

    • IP类型:选择IPv4IPv6。

    • 公网资产:从支持的资产类型列表中勾选所需类型;勾选完成后,可单击预览资产IP查看将被纳入的IP地址列表。

    说明

    • 资产账号区域选择全部账号时,系统将自动同步后续新增成员账号下的公网资产。 

    • 公网资产的云资产地址簿的同步周期与公网资产同步周期保持一致。若公网资产发生变更,可能导致地址簿同步延迟,进而引发ACL策略拦截。

    • 建议在公网资产变更后,在开关 > 互联网边界防火墙,单击资产列表页面右上角的同步资产以更新地址簿。

    ACK资产

    • ACK集群同步节点实例ID/名称:从已创建的ACK集群同步节点中进行选择。

    • ACK地址簿类型

      • ACK集群命名空间:同步所选命名空间下所有的 Pod IP,支持多选。

      • ACK集群容器组标签:同步所选标签下所有的 Pod IP,支持多选。

    ECS标签

    • ECS标签筛选:有新匹配标签的ECS实例时,将自动添加至当前地址簿。默认开启该功能,暂不支持关闭。

    • ECS标签:选择目标ECS实例的标签及其对应标签值。若需纳入的ECS实例使用了不同的标签,可单击新增一组ECS标签以添加多组标签条件。配置完成后,符合条件的ECS实例的IP地址将显示在下方区域。

    说明

    云防火墙每100分钟自动更新ECS标签地址簿,并将更新结果同步至所有引用该地址簿的访问控制策略中生效。

域名地址簿

进入域名地址簿 > 自定义域名地址簿页签,单击新建自定义域名地址簿,完成如下配置项:

配置项

说明

地址簿名称地址簿描述

为自定义地址簿设置名称和描述。建议使用具有实际意义的名称,并说明其适用场景,以便准确识别和高效应用该地址簿。

域名

输入域名或泛域名。多个域名之间用半角逗号(,)或者换行符分隔。 可通过空格分隔添加描述,最大长度64。

说明

  • 访问控制策略的目的类型为泛域名时,应用仅支持HTTP、HTTPS、SSL、SMTP、SMTPS。

  • 若在NAT边界访问控制策略中引用泛域名地址簿,域名识别模式仅支持基于FQDN(报文提取Host/SNI)

端口簿

进入端口簿页签,单击新建端口簿,完成如下配置项:

配置项

说明

地址簿名称地址簿描述

为自定义地址簿设置名称和描述。建议使用具有实际意义的名称,并说明其适用场景,以便准确识别和高效应用该地址簿。

端口

输入端口范围,端口取值为0~65535。多个端口范围之间用半角逗号(,)或者换行符分隔。可通过空格分隔添加描述,最大长度8。

  • 端口格式为开始端口/结束端口,例如,22/25表示端口22、23、24、25;80/80表示端口80。

  • 0/0表示所有端口。

地址簿创建成功后,可以在地址簿列表进行查看地址簿信息、修改地址簿、删除地址簿等操作。

说明

  • 地址簿在被引用状态下不支持删除。 

  • ACK地址簿创建后,其关联的ACK集群同步节点实例ID/名称ACK地址簿类型均不可修改;如需调整,请先删除原地址簿,再重新创建。

查看云服务地址簿

云服务IP地址簿云服务域名地址簿仅支持查看与引用,不支持创建、修改等操作。

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择防护配置 > 地址簿

  3. 定位至目标地址簿。

    1. 云服务IP地址簿:前往IP地址簿 > 云服务IP地址簿页签。

    2. 云服务域名地址簿:前往域名地址簿 > 云服务域名地址簿页签。

  4. 单击目标地址簿右侧操作列的查看,查看地址簿的详细信息。

上一篇:私有 DNS下一篇:安全组检查