文档首页/ 云防火墙 CFW/ 用户指南/ 访问控制/ 管理对象组/ 管理IP地址组
更新时间:2025-06-12 GMT+08:00
查看PDF
分享

管理IP地址组

操作场景

IP地址组是多个IP地址的集合。通过在访问规则中一键引用IP地址组,即可实现对特定对象群体的统一流量管控。此外,当IP地址组更新时会自动同步至所有关联策略,无需手动调整。这不仅能提升策略调整响应速度,还可以降低重复配置工作量,实现运维效率的全面提升。

约束与限制

  • 添加自定义IP地址组和IP地址:
    • 每个防火墙实例下最多添加3,800个IP地址组。
    • 每个IP地址组中最多添加640个IP地址成员。
    • 每个防火墙实例下最多添加30,000个IP地址。
  • 预定义地址组仅支持查看,不支持添加、修改、删除操作。
  • 被防护规则引用的地址组不支持删除,需优先调整/删除对应规则。

添加自定义地址组

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  5. 在左侧导航栏中,选择访问控制 > 对象组管理,进入“对象组管理”界面。
  6. “IP地址组”页签,单击“添加IP地址组”,弹出“添加IP地址组”界面,填写参数如表1所示。

    表1 添加IP地址组的参数说明

    参数

    说明

    IP地址组名称

    需要添加的IP地址组名称。

    命名规则如下:
    • 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_)。
    • 长度不超过255字符。

    描述

    标识该IP组的使用场景和用途,以便后续运维时快速区分不同的IP组。

    命名规则如下:
    • 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)、空格和特殊字符(-_)。
    • 长度不超过255字符。

    IP地址列表

    添加需要管理的IP地址,单击“解析”至IP地址列表中。

    输入规则如下:
    • 单个IP地址,如:192.168.10.5。
    • 地址段,使用"/"隔开掩码,如:192.168.2.0/24。
    • 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10。
    • 支持多个IP地址,使用半角逗号(,)、半角分号(;)、换行符、制表符或空格隔开,如192.168.1.0,192.168.1.0/24。

  7. 确认无误后,单击“确认”,完成添加IP地址组。

    首次添加IP地址组后,需要给新增的地址组添加IP地址,详细操作请参见添加自定义地址组中IP地址

添加自定义地址组中IP地址

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  5. 在左侧导航栏中,选择访问控制 > 对象组管理,进入“对象组管理”界面。
  6. “IP地址组”页签,单击添加的IP地址组名称,弹出“IP地址组详情”弹窗。
  7. 单击“添加IP地址”,弹出“添加IP地址”界面。

    • 批量添加IP地址:在输入框中添加需要管理的IP地址,单击“解析”至IP地址列表中。
      输入规则如下:
      • 单个IP地址,如:192.168.10.5。
      • 地址段,使用"/"隔开掩码,如:192.168.2.0/24。
      • 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10。
      • 支持多个IP地址,使用半角逗号(,)、半角分号(;)、换行符、制表符或空格隔开,如192.168.1.0,192.168.1.0/24。
    • 添加单个IP地址:在列表中单击“添加”,输入“IP地址”“描述”信息。

  8. 确认信息无误后,单击“确认”,完成添加IP地址。

查看预定义地址组

云防火墙为您提供预定义地址组,包括NAT64转换地址组和WAF回源IP地址组,两个地址组均建议您配置放行的策略。

  • NAT64转换地址组:提供转换后的IP地址;开启弹性公网IP(EIP)服务的IPv6转换功能后,云防火墙接收到对应IPv6流量的源IP地址会被转换为当前地址组中的IP。IPv6转换功能请参见IPv6转换

    如果您开启了弹性公网IP(EIP)服务的IPv6转换功能,建议放行NAT64转换地址组。

  • WAF回源IP地址组:提供Web应用防火墙(WAF)服务云模式的回源IP地址,回源IP的相关信息请参见什么是回源IP?
    • 引用至防护规则,如果回源IP改变,无需手动修改,防火墙每天自动更新地址组中的IP地址。
    • 添加至黑/白名单,如果回源IP改变,您需手动修改对应黑/白名单中的IP地址。
  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  5. 在左侧导航栏中,选择访问控制 > 对象组管理,进入“对象组管理”界面。
  6. “IP地址组”页签,选择“预定义地址组”页签,单击目标地址组的名称,进入详细信息页面,查看地址组信息。

删除自定义IP地址组

删除IP地址组后无法恢复,请谨慎操作。

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  5. 在左侧导航栏中,选择访问控制 > 对象组管理,进入“对象组管理”界面。
  6. 在IP地址组页签,在需要删除的IP地址组所在行的操作列,单击删除。
  7. 在弹出的“删除IP地址组”界面,确认删除的信息无误后,输入“DELETE”,单击“确定”,完成删除。

相关操作

  • 导出IP地址组:单击列表上方的“导出”,选择需要的数据范围。
  • 批量删除IP地址:在“IP地址组详情”界面,批量勾选IP地址后,单击列表上方的“删除”
父主题: 管理对象组

相关文档

    OSZAR »