You need to enable JavaScript to run this app.
导航
云防火墙
  • 文档首页
    • /云防火墙/API参考/NAT边界防火墙/AddNatFirewallControlPolicy - 创建NAT边界防火墙访问控制策略
AddNatFirewallControlPolicy - 创建NAT边界防火墙访问控制策略
最近更新时间:2024.11.25 17:03:53首次发布时间:2024.11.24 23:48:55
我的收藏

创建 NAT 边界防火墙访问控制策略,对 VPC 内资源(ECS、ENI 等) 与 NAT 网关之间出入站流量统一管控,实现私网 IP 出入互联网的流量安全防护。

注意事项

访问控制策略会按策略内的访问源地址/区域数量、目的地址数量、目的端口数量统计占用策略配额数。

  • 每条规则占用的策略数 = 访问源数量 * 访问目的地址数量 * 目的端口数量。
  • 其中访问源计数逻辑为:
    • 访问源为 IP 地址/地址段时,统计为 1 条。
    • 访问源为地址簿类型时,按地址簿内实际 IP 地址和地址段个数统计数量。
    • 访问源为区域类型时,逻辑如下:
      • 中国:每个省级行政区计为 1 条;全选计为 1 条。
      • 国际区域:亚洲(国内除外)计为 2 条,其余每个洲各计为 1 条;全选计为 2 条。
      • 中国+国际区域:按前两条规则计和,如果两者全选,计为 1 条。
  • 例如,某条规则访问源为区域类型,选择中国 3 个省级行政区和全部国际区域为访问源,访问目的地址簿内包含 4 个 IP 地址,目的端口地址簿内有 2 个端口,则占用策略数 =(3 + 2)* 4 * 2 = 40。

请求说明

  • 请求方式:POST
  • 请求地址:?Action=AddNatFirewallControlPolicy&Version=2021-09-06

调试

API Explorer
您可以通过 API Explorer 在线发起调用,无需关注签名生成过程,快速获取调用结果。
去调试

请求参数

Query

参数类型是否必选示例值描述
ActionStringAddNatFirewallControlPolicy接口名称。当前 API 的名称为 AddNatFirewallControlPolicy
VersionString2021-09-06接口版本。当前 API 的版本为 2021-09-06

Body

参数类型是否必选示例值描述

Action

String

accept

策略动作:

  • accept: 放行
  • deny: 阻断
  • monitor: 观察
DescriptionStringDescription策略描述信息,可用于说明策略的用途、作用等。

DestPort

String

832a5162-5949-4953-b789-********

目的端口。格式为单个端口22,端口范围100/200:

  • 当协议类型为ICMP/ALL时,取值为空
  • 当DestPortType为group时,取值为端口地址簿的uuid列表,多个地址簿通过英文逗号分隔
  • 当DestPortType为port时,取值为端口范围

DestPortType

String

group

访问控制策略的目的端口类型:

  • port:端口
  • group:端口地址簿

Destination

String

********.com

目的地址:

  • 当DestinationType为net时,Destination为目的CIDR地址。例如:192.168.0.2/32
  • 当DestinationType为group时,Destination为目的址簿的uuid。例如:f04ac7ce----********
  • 当DestinationType为Domain时,Destination为目的域名。例如:********.com
  • 当DestinationType为区域时,Destination为区域代码。例如:BJ11

DestinationType

String

domain

目的地址类型:

  • net:目的网段(CIDR)
  • group:目的地址簿
  • location:目的区域
  • domain:目的域名

Direction

String

in

策略方向:

  • in:入向
  • out:出向

EndTime

Integer

1725708600

策略生效截止日期,Unix 时间戳,支持精确到设定日期的 23:59:00。

  • 当 RepeatType 为 Permanent(始终生效)时,该字段无需填写。
  • 当 RepeatType 为 Once(单时间段生效)或 Daily、Weekly、Monthly(重复生效)时,需填写该字段,字段需要精确到设定日期的 23:59:00。
    例如 2024.11.30 截止,则取值为 1732982340,实际截止时间为 2024.11.30 23:59:00。
NatFirewallIdStringnfw-********NAT边界防火墙实例 ID。

Prio

Integer

1

优先级,默认是最高优先级。

  • 0:最低优先级
  • 1:最高优先级
  • 其他:其他优先级

Proto

String

TCP

协议类型。当DestinationType为domain时,Proto只能是TCP。可选值:

  • ICMP
  • TCP
  • UDP
  • ANY(任何协议)

RepeatType

String

Permanent

重复类型:

  • Permanent:始终生效
  • Once:单次生效
  • Daily:每日重复
  • Weekly:每周重复
  • Monthly:每月重复

RepeatDays

Array of Integer

1,2,3

重复生效周期。

  • 当 RepeatType 为 Daily(每日重复)时,无需填写。
  • 当 RepeatType 为 Weekly(每周重复)、Monthly(每月重复)时,需要填写。
    • 当 RepeatType 为 Weekly 时,取值范围[0, 6]
    • 当 RepeatType 为 Monthly 时,取值范围[1, 31]

RepeatStartTime

String

08:00

重复生效起始时间。当 RepeatType 为 Daily、Weekly、Monthly(重复生效)时,需要填写。
精确到分钟,格式为 hh:mm。例如:12:00。

RepeatEndTime

String

10:00

重复生效截止时间。当 RepeatType 为 Daily、Weekly、Monthly(重复生效)时,需要填写。
精确到分钟,格式为 hh:mm。例如:12:00。

Source

String

f04ac7ce-****-****-****-************

源地址:

  • 当SourceType为net时,Source为源CIDR地址。例如:180.*.*.1/32
  • 当SourceType为group时,Source为源地址簿的uuid。例如:f04ac7ce----********
  • 当SourceType为区域时,Source为区域代码。例如:BJ11

SourceType

String

group

源地址类型:

  • net:网段(CIDR)
  • group:地址簿
  • location:区域

StartTime

Integer

1725705000

策略生效起始日期,Unix 时间戳,支持精确到设定日期的 00:00:00。

  • 当 RepeatType 为 Permanent(始终生效)时,该字段无需填写。
  • 当 RepeatType 为 Once(单时间段生效)或 Daily、Weekly、Monthly(重复生效)时,需填写该字段,字段需要精确到设定日期的 00:00:00。
    例如 2024.10.01 开始,则取值为 1727712000,实际起始时间为 2024.10.01 00:00:00。

Status

Boolean

true

策略启用状态。默认为false,关闭。

  • true:开启
  • false:关闭

返回参数

参数类型示例值描述
RuleIdStringf04ac7ce-****-****-****-************创建成功后返回访问控制策略唯一标识 ID。

请求示例

POST ?Action=AddNatFirewallControlPolicy&Version=2021-09-06
Host: https://open.volcengineapi.com
Content-Type: application/json; charset=UTF-8
X-Date: 20240711T081413Z
X-Content-Sha256: 287e874e******d653b44d21e
Authorization: HMAC-SHA256 Credential=Adfks******wekfwe/20240711/cn-beijing/fw_center/request, SignedHeaders=host;x-content-sha256;x-date, Signature=47a7d934ff7b37c03938******cd7b8278a40a1057690c401e92246a0e41085f
{
    "Action": "accept",
    "Description": "Description",
    "DestPort": "832a5162-5949-4953-b789-********",
    "DestPortType": "group",
    "Destination": "********.com",
    "DestinationType": "domain",
    "Direction": "in",
    "EndTime": 1725708600,
    "NatFirewallId": "nfw-********",
    "Prio": 10,
    "Proto": "TCP",
    "RepeatDays": [
        null
    ],
    "RepeatEndTime": "10:00",
    "RepeatStartTime": "08:00",
    "RepeatType": "Permanent",
    "Source": "f04ac7ce-****-****-****-************",
    "SourceType": "group",
    "StartTime": 1725705000,
    "Status": true
}

返回示例

{
    "ResponseMetadata": {
        "Action": "AddNatFirewallControlPolicy",
        "Region": "cn-beijing",
        "Service": "fw_center",
        "Version": "2021-09-06",
        "RequestId": "20230604110420****100232280022D31"
    },
    "Result": {
        "RuleId": "f04ac7ce-****-****-****-************"
    }
}