AddNatFirewallControlPolicy - 创建NAT边界防火墙访问控制策略--云防火墙-火山引擎

文档中心

立即注册

导航

AddNatFirewallControlPolicy - 创建NAT边界防火墙访问控制策略

最近更新时间：2025.05.29 17:45:46首次发布时间：2024.11.24 23:48:55

创建 NAT 边界防火墙访问控制策略，对 VPC 内资源（ECS、ENI 等）与 NAT 网关之间出入站流量统一管控，实现私网 IP 出入互联网的流量安全防护。

使用说明

访问控制策略会按策略内的访问源地址/区域数量、目的地址数量、目的端口数量统计占用策略配额数。

每条规则占用的策略数 = 访问源数量 * 访问目的地址数量 * 目的端口数量。
其中访问源计数逻辑为：
- 访问源为 IP 地址/地址段时，统计为 1 条。
- 访问源为地址簿类型时，按地址簿内实际 IP 地址和地址段个数统计数量。
- 访问源为区域类型时，逻辑如下：
  - 中国：每个省级行政区计为 1 条；全选计为 1 条。
  - 国际区域：亚洲（国内除外）计为 2 条，其余每个洲各计为 1 条；全选计为 2 条。
  - 中国+国际区域：按前两条规则计和，如果两者全选，计为 1 条。
例如，某条规则访问源为区域类型，选择中国 3 个省级行政区和全部国际区域为访问源，访问目的地址簿内包含 4 个 IP 地址，目的端口地址簿内有 2 个端口，则占用策略数 =（3 + 2）* 4 * 2 = 40。

请求说明

请求方式：POST
请求地址：https://fw_center.volcengineapi.com/?Action=AddNatFirewallControlPolicy&Version=2021-09-06

调试

API Explorer

您可以通过 API Explorer 在线发起调用，无需关注签名生成过程，快速获取调用结果。

去调试

请求参数

Query

参数	类型	是否必选	示例值	描述
Action	String	是	`AddNatFirewallControlPolicy`	接口名称。当前 API 的名称为 `AddNatFirewallControlPolicy`。
Version	String	是	`2021-09-06`	接口版本。当前 API 的版本为 `2021-09-06`。

Body

参数	类型	是否必选	示例值	描述
Action	String	是	`accept`	策略动作： `accept`：放行 `deny`：阻断 `monitor`：观察
Description	String	否	`Description`	策略描述信息，可用于说明策略的用途、作用等。
DestPort	String	否	`832a5162-5949-4953-b789-********`	目的端口，格式为单个端口 `22` 或端口范围 `100/200`。当协议类型为 `ICMP` 或 `ALL` 时，该字段为空；当 `DestPortType` 为 `group` 时，该字段为端口地址簿的 UUID 列表，多个地址簿通过英文逗号分隔；当 `DestPortType` 为 `port` 时，该字段为端口范围。
DestPortType	String	否	`group`	访问控制策略的目的端口类型，取值如下所示。 `port`：端口； `group`：端口地址簿。
Destination	String	是	`********.com`	目的地址，根据 `DestinationType` 的不同取值对应不同的格式：当 `DestinationType` 为 `net` 时，格式为 CIDR 地址，例如 `192.168.0.2/32`；当 `DestinationType` 为 `group` 时，格式为目的地址簿的 UUID；当 `DestinationType` 为 `domain` 时，格式为目的域名；当 `DestinationType` 为 `location` 时，格式为区域代码。
DestinationType	String	是	`domain`	目的地址类型，用于指定访问控制策略中目的地址的格式和来源。 `net`：目的网段（CIDR 格式）； `group`：目的地址簿（UUID 格式）； `domain`：目的域名； `location`：目的区域（区域代码格式）。
Direction	String	是	`in`	策略方向，用于指定访问控制策略的流量方向。 `in`：入向； `out`：出向。
EndTime	Integer	否	`1732982340`	策略生效截止日期，Unix 时间戳，支持精确到设定日期的 `23:59:00`。当 `RepeatType` 为 `Permanent`（始终生效）时，该字段无需填写。当 `RepeatType` 为 `Once`（单时间段生效）或 `Daily`、`Weekly`、`Monthly`（重复生效）时，需填写该字段，字段需要精确到设定日期的 `23:59:00`。
NatFirewallId	String	是	`nfw-********`	NAT边界防火墙实例 ID，获取方式可参考DescribeNatFirewallList - 查询 NAT 边界防火墙实例列表。
Prio	Integer	否	`1`	优先级，默认是最高优先级。 `0`：最低优先级； `1`：最高优先级；其他：其他优先级。
Proto	String	是	`TCP`	协议类型。当 `DestinationType` 为 `domain` 时，只能选择 `TCP` 协议。可选值如下所示。 `ICMP`：ICMP 协议； `TCP`：TCP 协议； `UDP`：UDP 协议； `ANY`：任何协议。
RepeatType	String	否	`Permanent`	重复类型，用于指定策略生效的时间周期。 `Permanent`：始终生效； `Once`：单次生效； `Daily`：每日重复； `Weekly`：每周重复； `Monthly`：每月重复。
RepeatDays	Array of Integer	否	`[1,3,5]`	重复生效周期。当 `RepeatType` 为 `Daily`（每日重复）时，无需填写；当 `RepeatType` 为 `Weekly`（每周重复）时，取值范围为 `[0, 6]`，分别对应周日到周六；当 `RepeatType` 为 `Monthly`（每月重复）时，取值范围为 `[1, 31]`，对应每月的日期。
RepeatStartTime	String	否	`08:00`	重复生效起始时间，精确到分钟，格式为 `hh:mm`。当 `RepeatType` 为 `Daily`、`Weekly` 或 `Monthly`（重复生效）时，必须填写该字段。例如：`08:00` 表示每天早上 8 点开始生效。
RepeatEndTime	String	否	`23:59`	重复生效截止时间。当 `RepeatType` 为 `Daily`、`Weekly` 或 `Monthly`（重复生效）时，必须填写该字段。精确到分钟，格式为 `hh:mm`。例如：`23:59` 表示每天晚上 23:59 结束生效。
Source	String	是	`180...1/32`	源地址，根据 `SourceType` 的不同取值对应不同的格式。当 `SourceType` 为 `net` 时，格式为 CIDR 地址；当 `SourceType` 为 `group` 时，格式为源地址簿的 UUID；当 `SourceType` 为 `location` 时，格式为区域代码。
SourceType	String	是	`group`	源地址类型，用于指定访问控制策略中源地址的格式和来源。 `net`：源网段（CIDR 格式）； `group`：源地址簿（UUID 格式）； `location`：源区域（区域代码格式）。
StartTime	Integer	否	`1725638400`	策略生效起始日期，Unix 时间戳，支持精确到设定日期的 `00:00:00`。当 `RepeatType` 为 `Permanent`（始终生效）时，该字段无需填写；当 `RepeatType` 为 `Once`（单时间段生效）或 `Daily`、`Weekly`、`Monthly`（重复生效）时，需填写该字段，字段需要精确到设定日期的 `00:00:00`。
Status	Boolean	否	`true`	策略启用状态。默认为 `false`，关闭。 `true`：开启 `false`：关闭

返回参数

参数	类型	示例值	描述
RuleId	String	`f04ac7ce-**---**********`	创建成功后返回访问控制策略唯一标识 ID。

请求示例

POST https://fw_center.volcengineapi.com/?Action=AddNatFirewallControlPolicy&Version=2021-09-06
{
    "Action": "accept",
    "Description": "Description",
    "DestPort": "832a5162-5949-4953-b789-********",
    "DestPortType": "group",
    "Destination": "********.com",
    "DestinationType": "domain",
    "Direction": "in",
    "EndTime": 1732982340,
    "NatFirewallId": "nfw-********",
    "Prio": 1,
    "Proto": "TCP",
    "RepeatDays": [
        1,
        3,
        5
    ],
    "RepeatEndTime": "23:59",
    "RepeatStartTime": "08:00",
    "RepeatType": "Permanent",
    "Source": "180.*.*.1/32",
    "SourceType": "group",
    "StartTime": 1725638400,
    "Status": true
}

返回示例

{
    "ResponseMetadata": {
        "Action": "AddNatFirewallControlPolicy",
        "Region": "cn-beijing",
        "Service": "fw_center",
        "Version": "2021-09-06",
        "RequestId": "20230604110420****100232280022D31"
    },
    "Result": {
        "RuleId": "f04ac7ce-****-****-****-************"
    }
}

错误码

您可访问公共错误码，获取更多错误码信息。