规则列表配额说明

最近更新时间:2026-06-15 17:48:30

我的收藏

版本默认配额

当前访问控制规则包括以下几种类型:互联网边界规则、NAT 边界规则、VPC 边界规则、企业安全组。根据所购买的版本,不同版本具有的默认配额如下表所示:
版本
互联网边界规则
NAT 边界规则
VPC 边界规则
企业安全组
高级版
1000条
1000条
-
100条
企业版
2000条
2000条
2000条
1000条
旗舰版
5000条
5000条
5000条
2000条

占用配额统计方式

访问控制规则配额按照防火墙类型整体划分,不区分地域和方向。
列表中每条规则占用配额为1条,已占用规格数是指您对应防火墙类型下所有已添加规则数累计之和。例如,NAT 边界规则在广州地域入向4条、出向3条,在上海地域入向2条、出向1条,则 NAT 边界规则配额占用数为4+3+2+1=10条。

规则展开说明

对于下发到防火墙的规则,配置的 ACL 会按照最小粒度拆分为多条规则下发至引擎,故引擎统计的规则数并非列表规则数,而是下发规则数。下发规则数的相关规格可参考 下发规则数限制
规则展开公式如下:
下发规则数 = 源地址个数 × 目的地址个数 × 端口个数 × 协议个数。
说明:
对于源地址和目的地址,1个 IP、CIDR、IP 范围、域名/子域名均视作为1个最小展开单元。
对于端口,单个端口、连续端口段、全部端口均视作为1个最小展开单元。
对于协议,除 ANY 外的单个协议均视作为1个最小展开单元。
当访问源及访问目的均为 IP 时,此时为4层 ANY 协议视作1个最小展开单元。
当访问目的为域名时,此时为7层 ANY 协议视作6个最小展开单元。
例如:访问源0.0.0.0/0为1个 CIDR,访问目的是一个域名地址模板包含了2个域名,目的端口80、443/446其中一个为单端口一个为端口段,协议为7层的 ANY 协议;故下发规则数=1*2*2*6=24条。


下发规则数限制

当引擎达到最大下发规则数限制后,将无法继续配置 ACL 规则,请合理管理规则。具体防火墙下发规则数限制如下:
互联网边界旁路防火墙:单租户最大支持10000条下发规则数,无法扩展,请合理优化规则。
NAT 边界防火墙:与实例规格相关,可通过提升实例规格扩展下发规则数限制,详见 NAT 边界防火墙实例规格
VPC 间边界防火墙:与实例规格相关,可通过提升实例规格扩展下发规则数限制,详见 VPC 间防火墙实例规格