功能简介
规则组管理用于集中创建、编排和维护可复用的规则组。它支持对规则组及其内部规则进行全生命周期的精细化管控,包括新建、编辑、排序、筛选和批量操作,为后续的规则下发流程提供策略基础。
操作步骤
1. 登录 防火墙管理控制台,在左侧导航中,选择策略管理 > 规则组管理。
2. 单击云防火墙-企业安全组,切换到云防火墙-企业安全组界面。
新建规则组
1. 在规则组管理页面,单击新建规则组。
2. 在新建规则组页面,配置以下参数:
参数名称 | 说明 |
规则组名称 | 自定义规则名称,50个字符以内。 |
所属产品 | 选择云防火墙-企业安全组。 |
组内优先级 | 规则的执行顺序,企业安全组 IPv4和 IPv6规则的执行顺序互不影响,优先级较高的规则被优先匹配,命中后则不再匹配后序规则。当您修改某条规则的优先级时,原本该位置的规则的优先级+1,依次类推。当您删除某条规则时,后序所有规则的优先级-1。 说明: 仅支持编辑首条规则的优先级,其后的规则会依次递增;原优先级所在的规则会自动递延。 长按鼠标左键,即可拖动排序所创建的规则组策略,优先级也会随之变动。 |
IP 类型 | 根据需求选择 IPv4 或者 IPv6。 |
访问源 | IPv4 规则支持 IP/CIDR、参数模板、资产实例、资源标签、资产地域等类型。 IPv6 规则支持 IP/CIDR、参数模板等类型。 |
访问目的 | IPv4 规则支持 IP/CIDR、参数模板、资产实例、资源标签、资产地域、域名解析等类型。 IPv6 规则支持 IP/CIDR、参数模板等类型。 说明: 访问源选择其中的一种类型,访问目的也可以选择一种类型。但是,当访问源或访问目的选择的是资源地域时,对应的访问目的或访问源则不能选择资产地域,其他类型没有这个限制。 当生效范围选择轻量应用服务器防火墙时,访问源与访问目的均不支持参数模板类型。 |
目的端口 | 手动填写:支持单端口号、基于'/'的端口段以及英文逗号分隔的离散端口值、最多填写15个离散端口,例如“80”、“80/80”、“-1/-1”、“1/65535”。 参数模板:在已有端口模板协议内容中选择所需的地址模板。自定义端口协议模板可参考地址模板 > 新增模板。 |
协议 | 当前版本支持 UDP、TCP 和 ICMP 协议。 |
生效范围 | 您可以选择下发规则至安全组或轻量应用服务器防火墙。 |
策略 | 允许:放通命中规则的流量。 拒绝:拦截命中规则的流量。 |
描述 | 用于描述规则,最多支持30个字符,支持通过##的方式对当前规则进行 TAG 标记,其中部分 TAG 支持特殊功能;当前版本支持的设定有#仅下发访问源#, #仅下发访问目的# 说明 当访问目的地址填写为实例、子网、私有网络地址时,可通过自动双向下发,分配一条相同的入站规则。如果不想实现双向下发的效果,可通过在描述添加关键字: #仅下发访问源#(仅对访问源下发安全组规则),#仅下发访问目的#(仅对访问目的下发安全组规则)。 |
3. 若已编辑完成前方规则,而后方待配置规则与前者相似,可通过使用复制功能快速生成新规则,随后根据实际需求调整细节即可。
单击操作栏的 
单击下方的 
说明
一个规则组单次最多支持添加10条规则。
4. 确认无误后,单击确定完成配置。
说明:
配置规则需手动下发:创建规则后,请前往 规则下发管理,单击立即下发以使规则生效。
基于 IP 配置的风险提示:在资产 IP 不重复的情况下,您可通过 IP 地址快捷配置安全组规则。但需注意:若某 IP 绑定了多个实例,该 IP 的规则将对其下所有实例生效。后续如因资产变更导致该 IP 对应了新的实例,此规则也将自动扩展至所有关联实例。
管理规则组
删除规则组
单条删除:在目标规则组的操作列中,单击删除。
批量删除:先勾选多个规则组,再单击列表上方的批量删除。
编辑规则组
在目标规则组的操作列中,单击编辑,可进入编辑页面。
该页面分为两部分:
基础信息:仅支持单击 
规则信息:支持对当前规则组内的所有规则进行新增、查询、修改、删除及排序等操作。
查询规则:支持组合多种资源属性来筛选和查询规则。
新建规则:单击新建规则,可在本组内新增一条规则,参数说明请参考 新建规则组。
编辑规则:单击目标规则操作列的编辑,可修改该规则的详细配置。
删除规则:单击目标规则操作列的删除,可删除该规则;勾选多个规则后,可单击批量删除删除多个规则。
快速排序:规则在列表中的自上而下顺序代表其优先级从高到低。如需调整,请按以下步骤操作:
a. 单击列表上方的快速排序。
b. 将鼠标悬停在需调整的规则行上,光标变为拖动图标时,按住左键上下拖动。
c. 调整至目标位置后,单击保存。列表上方规则的优先级高于下方规则,系统会自动更新优先级数值。
