全部產品
Search
文件中心

Cloud Firewall:地址簿管理

更新時間:Dec 27, 2024

您可以將眾多IP地址(包括IPv4和IPv6)、連接埠或網域名稱統一添加到地址簿中,然後在存取控制策略中一鍵引用地址簿,實現高效地管控指定對象群體的網路流量。使用地址簿可以簡化在多條存取控制策略中重複設定相同目標的流程,並且地址簿中的更新都會自動同步到相關的存取控制策略,無需手動重新設定,協助您提高策略調整的響應速度和管理的整體效率。

地址簿類型

Cloud Firewall提供自訂地址簿和智能推薦地址簿,您可以靈活地自訂並應用各類地址簿,滿足業務的多樣性和安全需求。

地址簿類型

說明

自訂地址簿

自行建立的地址簿,支援自訂IPv4地址簿、IPv6地址簿、連接埠地址簿、網域名稱地址簿。

最多支援添加5,000個自訂地址簿。單個地址簿支援添加的對象數量限制如下:

  • IPV4地址簿:單個地址簿最多支援添加2,000個IPv4地址或500個ECS標籤。

  • IPV6地址簿:單個地址簿最多支援添加2,000個IPv6地址。

  • 埠位址簿:單個地址簿最多支援添加50個連接埠。

  • 功能變數名稱位址簿:單個地址簿最多支援添加2,000個網域名稱。

說明

同一個對象可以被添加到多個地址簿,例如,同一個IPv4地址可以分別添加到兩個不同的地址簿中。

智能推薦地址簿

Cloud Firewall內建的地址簿,您可以在配置存取控制策略時直接引用,不支援修改或刪除。內建的地址簿分為雲端服務地址簿和威脅情報地址簿。

說明

智能推薦地址簿會定期自動更新,更新的結果會自動生效到關聯的存取控制策略。不同地址簿的自動更新時間不同,雲端服務地址簿自動更新時間為10分鐘~100分鐘不等;威脅情報地址簿自動更新時間為1天。

  • 云服务地址簿包含阿里雲服務平台內部服務的回源地址,例如Security Center漏洞掃描器地址、帳號下所有ECS的公網IP地址、DDoS防護執行個體的回源地址、WAF執行個體回源地址等。

    如果雲端服務地址簿被禁用,可能會對相應產品的正常運作產生影響,建議您允許存取所有雲端服務地址簿。

  • 威胁情报地址簿列表包含了阿里雲檢測出的惡意IP或網域名稱地址簿和網域名稱和常用網站地址簿。

    • 惡意IP或網域名稱地址簿資訊通常由安全研究人員和自動化系統通過分析網路攻擊、惡意軟體活動等擷取並不斷更新。封鎖惡意地址簿可以協助您阻斷與已知惡意源的通訊,增強系統的安全性,建議您封鎖所有惡意地址簿。

    • 常用網站地址簿包含訪問頻率較高的網站,如常用線上文檔網站、社交網站、雲端硬碟網站地址。通過配置存取控制策略,企業管理員可以輕鬆允許或阻止對這些常用網站的訪問。

      適用於企業需要管理員工的上網行為,確保網路頻寬優先用於業務關鍵活動,或者出於合規和安全監管的要求需要限制訪問某些特定網站等情境。

    說明

    威脅情報地址簿每隔一天自動更新一次。

建立自訂地址簿

  1. 登入Cloud Firewall控制台

  2. 在左側導覽列,選擇防護配置 > 存取控制 > 位址簿管理

  3. 位址簿管理頁面,單擊自定义地址簿頁簽,然後單擊需要建立的地址簿類型對應的頁簽。

  4. 進入IPV4地址簿IPV6地址簿埠位址簿功能變數名稱位址簿頁簽,單擊新建位址簿,然後配置地址簿。

    建立IPv4地址簿

    建立IPv4地址簿時,您可以選擇通過IP地址或ECS標籤方式建立。

    • IP地址:手動輸入IPv4地址進行添加。

    • ECS標籤:如果您需要添加多個ECS的公網IP地址,並且您已經為這些ECS配置了標籤,您可以通過ECS標籤實現快速添加。

      說明

      Cloud Firewall每隔100分鐘自動更新ECS標籤地址簿,並生效到引用ECS標籤地址簿的存取控制策略。

    地址簿類型

    配置項

    說明

    IP位址段

    位址簿名稱

    自訂地址簿名稱。建議輸入有實際意義的名稱,方便您有效識別並應用該地址簿。

    IP位址段

    按照CIDR格式,輸入IPv4地址,例如100.100.XX.XX/32。多個地址之間用半形逗號(,)分隔。

    描述

    輸入當前地址簿內容和使用情境。便於您識別並應用地址簿。

    ECS標籤

    位址簿名稱

    自訂地址簿名稱。建議輸入有實際意義的名稱,方便您有效識別並應用該地址簿。

    ECS標籤更新

    有新匹配標籤的ECS時,會自動添加到當前地址簿。預設開啟該功能,暫不支援關閉。

    ECS標籤

    選擇需要的ECS標籤及對應標籤值。

    如果需要添加的ECS綁定了不同的標籤,您可以單擊新增一組ECS標籤,添加多組不同標籤對應的ECS的公網IP。

    ECS標籤的更多內容,請參見編輯執行個體標籤

    描述

    輸入當前地址簿內容和使用情境。便於您識別並應用地址簿。

    建立IPv6地址簿

    配置項

    說明

    位址簿名稱

    自訂地址簿名稱。建議輸入有實際意義的名稱,方便您有效識別並應用該地址簿。

    IP位址段

    輸入IPv6位址區段,例如2001:3caf:10f:****:****/56 。 多個地址之間用半形逗號(,)分隔。

    描述

    輸入當前地址簿內容和使用情境。便於您識別並應用地址簿。

    建立連接埠地址簿

    配置項

    說明

    位址簿名稱

    自訂地址簿名稱。建議輸入有實際意義的名稱,方便您有效識別並應用該地址簿。

    連接埠

    輸入連接埠範圍,連接埠取值為0~65535。多個地址之間用半形逗號(,)分隔。

    • 連接埠格式為開始連接埠/結束連接埠,例如,22/25表示連接埠22、23、24、25;80/80表示連接埠80。

    • 0/0表示所有連接埠。

    描述

    輸入當前地址簿內容和使用情境。便於您識別並應用地址簿。

    建立網域名稱地址簿

    配置項

    說明

    位址簿名稱

    自訂地址簿名稱。建議輸入有實際意義的名稱,方便您有效識別並應用該地址簿。

    描述

    輸入當前地址簿內容和使用情境。便於您識別並應用地址簿。

    功能變數名稱

    輸入欄位名或泛網域名稱。多個地址之間用半形逗號(,)分隔。

    說明
    • 存取控制策略的目的類型為泛網域名稱時,應用僅支援HTTP、HTTPS、SSL、SMTP、SMTPS。

    • 如果您在NAT邊界存取控制策略中引用泛網域名稱地址簿,網域名稱識別模式僅支援基于FQDN(报文提取Host/SNI)

  5. 單擊確定,完成地址簿添加。

    地址簿添加成功後,您可以在地址簿列表,查看地址簿資訊、修改地址簿、刪除地址簿等。

    說明

    不支援修改位址簿類型,並且不支援刪除已被引用的自訂地址簿。

查看智能推薦地址簿

智能推薦地址簿只支援查看,不支援建立、修改等操作。

  1. 登入Cloud Firewall控制台

  2. 在左側導覽列,選擇防護配置 > 存取控制 > 位址簿管理

  3. 單擊智能推荐地址簿頁簽,查看Cloud Firewall內建的地址簿列表。

    image

  4. 目標地址簿右側操作列單擊查看,查看地址簿的詳細資料。