防火墙
####################

服务概述
====================

新浪云当前提供两种类型的防火墙服务：

- DDoS 防火墙
- 应用防火墙

两者的区别如下表所示：

.. list-table::
   :header-rows: 1
   :widths: 20 40 40
   :stub-columns: 1

   - *
     * DDoS 防火墙
     * 应用防火墙
   - * 工作原理
     * DDoS 防火墙工作在机房入口，根据来源 IP 范围、行为特征和频率来判断是否是 DDoS 攻击，阈值较为苛刻，目前攻击识别准确率 100%，一旦确定为攻击，对于攻击源 IP 采取丢包 Drop 动作。
     * 应用防火墙工作在负载均衡层，用户可以针对自己的业务自定义规则，请求一旦匹配规则，就不会再向后转发。
   - * 使用场景
     * 系统级别的防护，拦截掉恶意攻击，保证正常业务请求的访问。
     * 应用级别的防护，可用在防抓站、防刷单等场景。
   - * 默认状态
     * 开启
     * 关闭
   - * 建议
     * 强烈建议开启，我们会动态根据全平台访问自动学习规则进行识别和拦截。绝大部分应用不会遇到恶意攻击，也就不会产生费用。受到攻击时，DDoS 防火墙按照拦截次数计费且有封顶。
     * 建议开启，并且根据自身的业务特点设定规则。
   - * 关闭后可能出现的问题
     * **遇到 DDoS 攻击，我们会将您的应用解析到黑洞，在 24 小时后或许更长时间（根据攻击情况）后恢复** 。
     * 不会影响到您的业务运行，但可能会导致您的云豆消耗增加。

我们为您提供 DDoS 防火墙以保护您的业务安全稳定，DDos 防火墙默认开启，并且强烈建议您开启，如果您不想开启，可以在新浪云控制台『防火墙 /DDoS 防火墙』面板显式关闭。

应用防火墙
============

应用防火墙可以让您自定义规则拦截来保护您的应用和 Storage 存储的访问。

针对应用和针对 Storage 存储的防火墙使用的策略及配置方法一致，但需要在不同的面板开启。
　　
应用防火墙的实用意义：

+ 对恶意抓取的行为有效拦截
+ 保护云豆不被恶意的消耗
　　
应用防火墙针对访问行为提供如下控制策略：

.. list-table::
   :header-rows: 1

   - * 策略名
     * 说明
   - * requests/5minutes
     * 5 分钟内访问请求数限制
   - * bandwidth/5minutes
     * 5 分钟访问流量限制
   - * requests/day
     * 24 小时访问请求数限制
   - * bandwidth/day
     * 24 小时访问流量限制
   - * requests/5minutes_delay
     * 5 分钟内访问请求数限制，超过后限制请求访问速度而不是禁止访问
   - * allow
     * 白名单，列入其中的 IP 或者网段不受上面请求数和流量的限制，最多可以设置 100 个
   - * deny
     * 黑名单，列入其中的 IP 或者网段不受上面请求数和流量的限制，最多可以设置 100 个
   - * rules
     * 特征过滤，通过设置特征 key-values 达到阻断或放行访问。特征 key 对应 http 请求的 uri 或 header，特征 key 的长度限制在 3～25，不区分大小写。特征 value 限制在 5～256，多个 value 用英文逗号 (,) 隔开。value 支持前置或后置通配符 (*) 和取反 (~)，取反可以理解为白名单，是放行访问。例如：~*.sinaapp.com,test.appchizi.*是合理的 values，绝不允许出现前后通配符 (\*.app.\*) 的规则。规则校验时顺序检测多个 key 和多个 value 进行阻断或放行，因此设置的规则是有顺序的。

防火墙生效时返回 HTTP 609 错误

.. tip:: 用户可以通过 `CIDR`_ 来设置一个网段的黑白名单。比如 108.192.8.*网段写做：108.192.8.0/24

.. _CIDR: http://zh.wikipedia.org/wiki/%E6%97%A0%E7%B1%BB%E5%88%AB%E5%9F%9F%E9%97%B4%E8%B7%AF%E7%94%B1