管控业务公网资产出入互联网的访问流量

您可以使用互联网边界防火墙，精细化管控业务公网资产出入互联网的访问流量，减少公网资产在互联网的暴露面，降低业务流量的安全风险。开通互联网边界防火墙时，您无需更改当前网络拓扑，可以将资源一键秒级接入保护，快速实现对互联网出入流量的可视化分析、攻击防护、访问控制、日志审计等。

功能介绍防护原理公网资产（包括IPv4和IPv6）开启互联网边界防火墙后，云防火墙会基于DPI流量分析、IPS入侵防御规则、威胁情报、虚拟补丁、访问控制策略等，对出向和入向流量进行过滤，判断流量是否满足放行条件，有效拦截非法的访问流量，保障公网资产与互联网之间的流量安全。

防护的公网资产范围（出向+入向）：如ECS、EIP（含L2 EIP）、负载均衡类资产、堡垒机、NAT、HaVip、GA EIP等IPv4和IPv6资产。

点击查看可防护的详细资产类型

IPv4

IPv6

ALB EIP

堡垒机出口IP

堡垒机 IP

堡垒机入口IP

EIP

ECS EIP

ECS 公网IP

ENI EIP

GA EIP

说明 该加速IP所属GA实例必须为标准型实例。

加速IP类型必须为弹性公网IP类型。

该加速IP所属加速地域不能为阿里云POP点。

查看加速地域是否为阿里云POP点，请参见ListAvailableBusiRegions。

HAVIP

NAT EIP

NAT 公网IP

NLB EIP

SLB EIP

SLB 公网IP

ALB IPv6

ECS IPv6

ENI EIP IPv6

GA EIP IPv6

说明 该加速IP所属GA实例必须为标准型实例。

加速IP类型必须为弹性公网IP类型。

该加速IP所属加速地域不能为阿里云POP点。

查看加速地域是否为阿里云POP点，请参见ListAvailableBusiRegions。

NLB IPv6

SLB IPv6

互联网边界防火墙的防护场景示例如下图所示：

对业务的影响创建、开启及关闭互联网边界防火墙时，您无需更改当前的网络拓扑，可以将资源一键秒级接入保护或关闭保护，对业务无影响。建议您在业务低峰期开启互联网边界防火墙。

防护规格自2025年10月15日起，云防火墙发布计费方式2.0。新购用户默认采用计费方式2.0，此前已购买的用户继续使用计费方式1.0，不同的计费方式下，互联网边界防火墙的防护规格不同。

计费方式2.0防护规格

说明

云防火墙包年包月版（高级版、企业版、旗舰版）

云防火墙按量版

防火墙实例数

可防护的地域数量，每个防护的地域对应一个互联网边界防火墙实例。

取决于购买的实例数与带宽，不同版本提供的实例数与带宽，请参见包年包月2.0。若配额不足，可以升级规格。具体操作，请参见查看资产的防护情况。

根据实际防火墙实例数和处理的总流量计费。

支持处理的峰值带宽最高为10Gbps，如需要定制更大规格，请联系商务经理或架构师。详细计费内容，请参见按量付费2.0。

公网流量处理能力

防火墙处理的互联网总流量峰值，计费标准为互联网出向与入向流量带宽之和。

计费方式1.0防护规格

说明

云防火墙包年包月版（高级版、企业版、旗舰版）

云防火墙按量版

可防护公网IP数

可开启互联网边界防火墙开关的公网IP数量。

取决于您购买的可防护公网IP数量和可处理的总流量峰值。如果配额不足，您可以升级规格。

不同云防火墙版本拥有不同的公网IP配额限制，具体内容，请参见包年包月1.0。

说明 如果您的业务流量超过已购云防火墙流量处理规格，则不能保证产品SLA，可能触发包括但不限于安全能力失效（ACL、IPS、日志审计）、TOP超量资产关闭防火墙、限速丢包等超量降级规则。

若您的业务流量可能有超量风险，建议参考包年包月弹性流量后付费。

根据实际开启防护的公网IP数和处理的总流量峰值计费，不存在配额限制。详细计费内容，请参见按量付费1.0。

公网流量处理能力

处理的互联网总流量峰值，计费标准为互联网出向或入向流量带宽取最高值。

查看资产的防护情况云防火墙会统计当前互联网防火墙实例数与未开启保护的公网IP数，您可以根据实际需求，为公网资产开启防护。

说明 为了保证业务流量安全，建议您开启阿里云账号下所有公网资产的互联网边界保护。

登录云防火墙控制台。

在左侧导航栏，单击防火墙开关。

在互联网边界防火墙页签，查看当前阿里云账号的公网资产防护情况。

（可选）如果当前的可用实例授权数不足，您可以单击升级进行升配，更多信息，请参见包年包月2.0。

开启防火墙开关一键开启资产保护如果没有开启新增资产自动保护，您可以手动为公网资产开启互联网边界保护。

登录云防火墙控制台。

在左侧导航栏，单击防火墙开关。

在互联网边界防火墙页签，单击IPv4或IPv6页签，手动开启公网资产保护。

如果在公网资产列表中没有需要开启保护的资产，您可以在公网资产列表右上角单击同步资产，同步当前阿里云账号及其成员账号的资产信息。资产同步预计需要1~2分钟。

单个开启保护

在公网资产列表中找到需要开启保护的公网资产，在操作列单击开启保护。

批量开启保护

在公网资产列表中选中多个需要开启保护的公网资产，在列表下方单击开启保护。

您也可以在数据统计区域单击开启保护，根据公网IP、地域和资产类型维度，一键开启所有公网资产的互联网边界保护。

开启新增资产自动保护开启新增资产自动保护后，当前阿里云账号及其成员账号下如果有新增的公网资产，云防火墙将自动开启新增资产的互联网边界保护。

登录云防火墙控制台。

在左侧导航栏，单击防火墙开关。

在互联网边界防火墙页签，单击新增资产自动保护并选择需要应用的公网资产。

后续步骤创建互联网边界防火墙后，您可以为互联网边界防火墙设置访问控制策略、查看公网资产访问日志等，以便您更好地管控公网资产和互联网之间的流量访问。

配置访问控制策略如果您未配置任何访问控制策略，云防火墙默认放行流量。您可以创建互联网边界访问控制策略，精细化管控公网资产访问互联网的流量。

在防火墙开关 > 互联网边界防火墙页面，定位到目标互联网边界防火墙的操作列，单击配置策略，选择配置该公网资产的出向或者入向访问控制策略。具体操作，请参见配置互联网边界访问控制策略。

查询审计日志在日志监控 > 日志审计页面的流量日志 > 互联网边界页签，设置筛选条件，查看公网资产和互联网的访问日志。更多信息，请参见日志审计。

查看流量分析在流量分析 > 主动外联页面，查看业务资产主动访问互联网的流量数据，包括出方向异常流量溯源、资产访问的互联网目的地址、公网资产主动外联、私网资产主动外联等数据，帮助您排查可疑资产，保障业务安全。更多信息，请参见主动外联。

在流量分析 > 公网暴露页面，查看互联网访问业务资产的情况，包括入方向异常流量溯源、业务资产开放公网IP、开放端口、开放应用、云产品的公网IP数量等数据，帮助您排查可疑资产，保障业务安全。更多信息，请参见公网暴露。

查看攻击防护数据在防火墙开关 > 互联网边界防火墙页面，定位到目标互联网边界防火墙的操作列，单击查看攻击，选择查看公网资产出向或者入向的攻击防护数据。具体信息，请参见入侵防御。

查看公网流量处理情况在左侧导航栏，单击总览，然后在总览页面的资产防护情况区域，查看防火墙实例数、已购流量与近期带宽峰值。

更多操作下发安全组默认放通策略说明 互联网边界防火墙防护的是互联网方向的流量方向，因此您需要确认防护的公网资产已放行互联网方向的流量，具体信息，请参考公网资产对应的官网文档。

防护ECS资产（包括ECS公网IP和ECS EIP）时，您可以在云防火墙控制台一键下发互联网方向的默认放行策略，方便您通过云防火墙统一管理规则，无需前往ECS管理控制台修改安全组的配置。

功能原理云防火墙通过给ECS资产关联的安全组下发4个优先级最低（优先级为100）的规则，放行ECS资产在互联网方向的访问。

对于相同优先级的规则，ECS安全组会优先匹配拒绝规则。因此，如果您原来配置了优先级为100的拒绝规则，云防火墙下发的放行策略不会使您之前配置的拒绝规则失效。

注意事项一键下发的安全组默认放通策略，会对关联到该安全组的所有资源生效，在下发前，建议为安全组关联的所有资源开启云防火墙保护，并且合理配置互联网边界的入方向访问控制策略，否则会存在公网暴露的风险。

对于未开启云防火墙开关的资源，不建议下发默认放通策略；对于已放通的资源，不建议关闭云防火墙的防护开关。

云防火墙服务到期后，通过云防火墙自动新增的4个放通策略还会保留在安全组中，并处于生效状态。如果您不再使用云防火墙服务，建议您手动删除云防火墙下发的4条默认放通策略。具体操作，请参见删除安全组规则。

使用限制下发安全组默认放通策略功能只支持ECS公网IP和ECS EIP的入方向规则。

企业级安全组不支持下发安全组默认放通策略。

下发放通策略登录云防火墙控制台。

在左侧导航栏，单击防火墙开关。

在互联网边界防火墙页签，单击IPv4或IPv6页签。

在公网资产列表找到需要放通默认策略的ECS资产，在安全组默认放行策略列单击下发。

（可选）如果当前安全组中的规则与待下发的规则冲突，您需要先完成策略调整。

配置冲突可调整：安全组中的规则与待下发规则的优先级相同，但协议类型、端口范围和授权对象不同。

您可以在安全组默认放行策略对话框，单击一键调整，通过将安全组原有的规则优先级调高，解决冲突。

配置冲突不可调整：安全组中的规则与待下发规则的优先级、协议类型、端口范围、授权对象均相同。

建议您前往ECS管理控制台的安全组页面查看和调整冲突的规则优先级，具体操作，请参见修改安全组规则。或者提交工单，联系产品技术专家进行咨询。

在安全组对应的操作列，单击一键下发，查看待下发的4个放通策略，然后单击确定。

如果ECS关联了多个安全组，您可以分别为所有关联的安全组下发放通策略，该ECS的默认放通策略才会生效。

安全组放通配置完成后，您可以在防火墙开关 > 互联网边界防火墙页面查看安全组默认放通策略的下发状态，确定策略是否已成功下发，及时排查未成功下发的问题。

安全组策略下发状态包含：

已下发：ECS资产关联的所有安全组均已下发了默认放通策略；

未下发：ECS资产关联的全部安全组或部分安全组还未下发默认放通策略，或者存在配置冲突。

-：该资产类型不支持一键下发默认放通策略。

下载公网资产列表您可以将公网资产列表的资产信息以CSV文件形式下载到本地。

登录云防火墙控制台。

在左侧导航栏，单击防火墙开关。

在互联网边界防火墙页签，单击IPv4或IPv6页签。

在公网资产列表右上角，单击图标。

在互联网边界防火墙页签的右上角，单击下载任务管理，查看任务下载进展。任务下载完成后，在操作列，单击下载。

关闭互联网边界保护警告 关闭公网资产互联网边界保护后，云防火墙将无法管控该公网资产的流量，可能会导致该公网资产遭受恶意攻击、数据泄露等风险。请谨慎操作。

登录云防火墙控制台。

在左侧导航栏，单击防火墙开关。

在互联网边界防火墙页签，单击IPv4或IPv6页签，在公网资产列表中找到需要开启保护的公网资产，在操作列单击关闭保护。

相关文档互联网边界访问控制策略的详细配置指导，请参见配置互联网边界访问控制策略。

如果您需要针对指定区域进行流量访问控制，请参见拒绝海外区域访问主机的策略配置教程。

如果您需要管控公网资产和指定网站域名的访问流量，请参见只允许公网主机访问指定域名的策略配置教程。

更多关于互联网边界防火墙的问题：

开启防火墙开关对业务有什么影响？

互联网边界防火墙的作用是什么？

互联网边界防火墙是否支持防护IPv6资产？

互联网边界防火墙是否会对网络流量产生影响？

关闭互联网边界防火墙有什么影响？

为什么开启互联网边界防火墙时提示SLB网络限制？

免费版同步资产后，没有显示部分公网IP资产？

同时开启互联网边界、NAT边界和DNS边界防火墙，出方向的流量如何匹配？

如何高效开启和配置云防火墙互联网边界访问控制策略？