使用地址簿简化访问控制策略配置_云防火墙(Cloud Firewall)-阿里云帮助中心

您可以将众多IP地址（包括IPv4和IPv6）、端口或域名统一添加到地址簿中，然后在访问控制策略中一键引用地址簿，实现高效地管控指定对象群体的网络流量。使用地址簿可以简化在多条访问控制策略中重复设置相同目标的流程，并且地址簿中的更新都会自动同步到相关的访问控制策略，无需手动重新配置，帮助您提高策略调整的响应速度和管理的整体效率。

地址簿类型

云防火墙提供自定义地址簿和智能推荐地址簿，您可以灵活地自定义并应用各类地址簿，满足业务的多样性和安全需求。

地址簿类型	说明

地址簿类型

说明

自定义地址簿

自行创建的地址簿，支持自定义IPv4地址簿、IPv6地址簿、端口地址簿、域名地址簿、ACK 地址簿。

最多支持添加5,000个自定义地址簿。单个地址簿支持添加的对象数量限制如下：

IPV4地址簿：单个地址簿最多支持添加2,000个IPv4地址或500个ECS标签。
IPV6地址簿：单个地址簿最多支持添加2,000个IPv6地址。
端口地址簿：单个地址簿最多支持添加50个端口。
域名地址簿：单个地址簿最多支持添加2,000个域名。
ACK地址簿：单个地址簿最多支持 10 组命名空间或标签。

说明

同一个对象可以被添加到多个地址簿，例如，同一个IPv4地址可以分别添加到两个不同的地址簿中。

智能推荐地址簿

云防火墙内置的地址簿，您可以在配置访问控制策略时直接引用，不支持修改或删除。内置的地址簿分为云服务地址簿和威胁情报地址簿。

说明

智能推荐地址簿会定期自动更新，更新的结果会自动生效到关联的访问控制策略。不同地址簿的自动更新时间不同，云服务地址簿自动更新时间为10分钟~100分钟不等；威胁情报地址簿自动更新时间为1天。

云服务地址簿包含阿里云服务平台内部服务的回源地址，例如云安全中心漏洞扫描器地址、账号下所有ECS的公网IP地址、DDoS防护实例的回源地址、WAF实例回源地址等。
如果云服务地址簿被禁用，可能会对相应产品的正常运作产生影响，建议您放行所有云服务地址簿。
威胁情报地址簿列表包含了阿里云检测出的恶意IP或域名地址簿和域名和常用网站地址簿。
- 恶意IP或域名地址簿信息通常由安全研究人员和自动化系统通过分析网络攻击、恶意软件活动等获取并不断更新。封禁恶意地址簿可以帮助您阻断与已知恶意源的通信，增强系统的安全性，建议您封禁所有恶意地址簿。
- 常用网站地址簿包含访问频率较高的网站，如常用在线文档网站、社交网站、云盘网站地址。通过配置访问控制策略，企业管理员可以轻松允许或阻止对这些常用网站的访问。
  适用于企业需要管理员工的上网行为，确保网络带宽优先用于业务关键活动，或者出于合规和安全监管的要求需要限制访问某些特定网站等场景。

创建自定义地址簿

登录云防火墙控制台。
在左侧导航栏，选择防护配置 > 访问控制 > 地址簿管理。
在地址簿管理页面，单击自定义地址簿页签，然后单击需要创建的地址簿类型对应的页签。

进入IPV4地址簿、IPV6地址簿、端口地址簿、域名地址簿或ACK地址簿页签，单击新建地址簿，然后配置地址簿。

IPv4地址簿配置项

创建IPv4地址簿时，您可以选择通过IP地址或ECS标签方式创建。

IP地址：手动输入IPv4地址进行添加。
ECS标签：如果您需要添加多个ECS的公网IP地址，并且您已经为这些ECS配置了标签，您可以通过ECS标签实现快速添加。
说明
云防火墙每隔100分钟自动更新ECS标签地址簿，并生效到引用ECS标签地址簿的访问控制策略。

地址簿类型	配置项	说明
IP地址	地址簿名称	自定义地址簿名称。建议输入有实际意义的名称，方便您有效识别并应用该地址簿。
	IP地址	按照CIDR格式，输入IPv4地址，例如100.100.XX.XX/32。多个地址之间用半角逗号（,）分隔。
	描述	输入当前地址簿内容和使用场景。便于您识别并应用地址簿。
ECS标签	地址簿名称	自定义地址簿名称。建议输入有实际意义的名称，方便您有效识别并应用该地址簿。
	ECS标签更新	有新匹配标签的ECS时，会自动添加到当前地址簿。默认开启该功能，暂不支持关闭。
	ECS标签	选择需要的ECS标签及对应标签值。如果需要添加的ECS绑定了不同的标签，您可以单击新增一组ECS标签，添加多组不同标签对应的ECS的公网IP。 ECS标签的更多内容，请参见编辑实例标签。
	描述	输入当前地址簿内容和使用场景。便于您识别并应用地址簿。

IPv6地址簿配置项

配置项	说明
地址簿名称	自定义地址簿名称。建议输入有实际意义的名称，方便您有效识别并应用该地址簿。
IP地址	输入IPv6地址段，例如`2001:3caf:10f:**:**/56` 。多个地址之间用半角逗号（,）分隔。
描述	输入当前地址簿内容和使用场景。便于您识别并应用地址簿。

端口地址簿配置项

配置项	说明
地址簿名称	自定义地址簿名称。建议输入有实际意义的名称，方便您有效识别并应用该地址簿。
端口	输入端口范围，端口取值为0~65535。多个地址之间用半角逗号（,）分隔。端口格式为`开始端口/结束端口`，例如，22/25表示端口22、23、24、25；80/80表示端口80。 0/0表示所有端口。
描述	输入当前地址簿内容和使用场景。便于您识别并应用地址簿。

域名地址簿配置项

配置项	说明
地址簿名称	自定义地址簿名称。建议输入有实际意义的名称，方便您有效识别并应用该地址簿。
描述	输入当前地址簿内容和使用场景。便于您识别并应用地址簿。
域名	输入域名或泛域名。多个地址之间用半角逗号（,）分隔。说明访问控制策略的目的类型为泛域名时，应用仅支持HTTP、HTTPS、SSL、SMTP、SMTPS。如果您在NAT边界访问控制策略中引用泛域名地址簿，域名识别模式仅支持基于FQDN（报文提取Host/SNI)。

ACK 地址簿配置项

重要

创建时，您需要先创建ACK集群同步节点，并获取其 ID 或名称。
ACK 地址簿强依赖于同步节点，创建后ACK集群同步节点实例ID/名称和ACK地址簿类型不可变更。
修改地址簿请删除后重新创建。

配置项	说明
地址簿名称	自定义地址簿名称。建议输入有实际意义的名称，方便您有效识别并应用该地址簿。
描述	输入当前地址簿内容和使用场景。便于您识别并应用地址簿。
ACK集群同步节点实例ID/名称	同步节点会周期性地向 ACK 集群地址簿同步最新的 Pod IP 。详情请参见ACK集群同步节点。
ACK地址簿类型	ACK集群命名空间：同步所填写命名空间下所有 Pod IP。 ACK集群容器组标签：同步标签筛选到的所有 Pod IP。
内容	根据ACK地址簿类型选择填写： ACK集群命名空间：填写命名空间，可填写多个。说明此处不对命名空间名称校验，若填错则不能显示 IP 地址。命名空间必须以字母或数字开头，并以短划线（-）、下划线（_）、半角句号（.）或字母及数字结尾，同时总长度不得超过63个字符。 ACK集群容器组标签：填写标签 Key 和 Value，可填写多个。说明此处不对标签 KV 校验，若填错则不能显示 IP 地址。 Key：键由两部分组成：可选的前缀和名称，两者之间用斜杠（/）分隔。名称是必填项，需满足以下要求：长度不超过63个字符。以字母或数字开头和结尾。可包含字母、数字、短划线（-）、下划线（_）和半角句号（.）。前缀为可选部分，若指定需满足以下要求：必须是DNS子域格式，即由半角句号（.）分隔的一系列DNS标签。总长度不超过253个字符。必须以斜杠（/）结尾。 Value：必须以字母或数字开头。以字母、数字、短划线（-）、下划线（_）或半角句号（.）结尾。总长度不超过63个字符。

单击确定，完成地址簿添加。
地址簿添加成功后，您可以在地址簿列表，查看地址簿信息、修改地址簿、删除地址簿等。
重要
不支持修改地址簿类型和引用的 ACK 集群同步节点，并且不支持删除已被引用的自定义地址簿。

查看智能推荐地址簿

智能推荐地址簿只支持查看，不支持创建、修改等操作。

登录云防火墙控制台。
在左侧导航栏，选择防护配置 > 访问控制 > 地址簿管理。
单击智能推荐地址簿页签，查看云防火墙内置的地址簿列表。
目标地址簿右侧操作列单击查看，查看地址簿的详细信息。