云防火墙支持自定义地址簿(IPv4地址簿、IPv6地址簿、端口地址簿、域名地址簿)和智能推荐地址簿(云服务地址簿、威胁情报地址簿)。您可以将多个IP地址、端口或域名指定成一个地址簿,便于在配置访问控制策略时批量添加IP地址、端口或域名。本文介绍如何管理地址簿。

背景信息

云防火墙的威胁情报功能可将阿里云检测到的恶意IP或域名同步到智能推荐地址簿,且云防火墙会自动添加您云账号下的DDoS防护实例和WAF实例的回源地址到云服务地址簿。您在配置云防火墙访问控制策略时,可针对DDoS防护和WAF回源的云服务地址簿,制定精细化的访问控制策略。

您可以通过以下两种方式,配置访问控制策略。
  • 放行受信地址簿中的可信任IP和域名。
  • 快速封禁地址簿中的恶意IP和域名。
说明
  • 多个地址簿可以包含同一个IP地址或端口。
  • 云防火墙会内置智能推荐地址簿(包含云服务地址簿和威胁情报地址簿),不支持修改和删除。
  • 地址簿内IP、域名或端口变动,会自动生效于引用了该地址簿的访问控制策略。

使用限制

地址簿总数量最多为5,000个。不同地址簿支持添加数据的数量如下:
  • IPv4地址簿地址簿类型IP地址时,单个地址簿最多只能添加2,000个格式为IPv4的IP地址;地址簿类型ECS标签时,单个地址簿最多只能添加500个ECS标签。
  • IPv6地址簿:单个地址簿最多只能添加2,000个格式为IPv6的IP地址。
    说明 云防火墙高级版实例不支持IPv6地址簿功能。
  • 端口地址簿:单个地址簿最多只能添加50个端口。
  • 域名地址簿:单个地址簿最多只能添加2,000个域名。

创建自定义地址簿

  1. 登录云防火墙控制台。在左侧导航栏,选择访问控制 > 地址簿管理
  2. 地址簿管理页面,单击自定义地址簿
  3. IPv4地址簿IPv6地址簿端口地址簿域名地址簿页签,单击新建地址簿
  4. 新建地址簿面板,配置地址簿的配置项。
    • IPv4地址簿
      地址簿类型 配置项 说明
      IP地址 地址簿名称 自定义地址簿名称。建议输入有实际意义的名称,方便您有效识别并应用该地址簿。
      IP地址 输入IP地址段。
      说明 地址簿类型选择IP地址时显示,多个地址段用半角逗号(,)隔开。
      描述 输入当前地址簿内容和使用场景。便于您识别并应用地址簿。
      ECS标签 地址簿名称 自定义地址簿名称。建议输入有实际意义的名称,方便您有效识别并应用该地址簿。
      ECS标签更新 有新匹配标签的ECS时,是否开启自动添加到当前地址簿。默认开启该功能,且不支持修改。
      说明 地址簿类型选择ECS标签时显示。
      ECS标签 选择当前阿里云账号下已创建的ECS标签及对应标签值。云防火墙自动将具有这些标签的ECS公网IP放到一个地址簿中。

      单击新增一组ECS标签,可添加多个ECS标签。添加ECS标签后,会在ECS标签下方显示对应的ECS信息,例如VPC名称、IP地址等。

      关于如何对ECS添加标签,请参见编辑ECS实例标签

      说明 地址簿类型选择ECS标签时显示。
      描述 输入当前地址簿内容和使用场景。便于您识别并应用地址簿。
    • IPv6地址簿

      IPv6地址:输入IPv6地址段。

    • 端口地址簿

      端口:输入端口。多个端口间用半角逗号(,)隔开。

    • 域名地址簿

      域名:输入域名。多个域名间用半角逗号(,)隔开。

  5. 单击确定,完成地址簿添加。
    地址簿添加成功后,您可以在地址簿列表,查看该地址簿的名称、引用次数、描述等信息,或修改、删除该地址簿。
    说明 云防火墙不支持修改地址簿类型,且不支持删除已被引用的地址簿。

查看智能推荐地址簿

智能推荐地址簿分为云服务地址簿(例如WAF实例回源地址簿、DDoS防护实例回源地址簿、所有ECS的公网IP簿、所有SLB的公网IP簿)和威胁情报地址簿。其中所有云服务地址簿的策略均建议放行,所有威胁情报地址簿的策略均建议拒绝。

  1. 登录云防火墙控制台。在左侧导航栏,选择访问控制 > 地址簿管理
  2. 地址簿管理页面,单击智能推荐地址簿
  3. 单击目标地址簿右侧操作列的查看。可以查看智能推荐地址簿的详细信息。
    智能推荐地址簿只支持查看,不支持创建、修改等操作。