防火墙怎么设置白名单才生效？

防火墙白名单必须通过策略规则显式配置并赋予高优先级，才能真正生效。华为云防火墙需在“访问控制策略”中新建“允许”类型规则，精确填写源IP或IP段、目标资源及协议端口，并确保其排序位于阻断类规则之前；Windows系统则需借助“允许应用通过防火墙”界面、高级安全防火墙的入/出站规则向导，或PowerShell命令行工具，将程序路径、端口或IP地址纳入明确放行范围。无论是云环境还是本地终端，白名单从创建到生效均依赖于规则启用、策略同步与网络类型匹配三个关键动作，缺一不可——这既是技术逻辑的刚性要求，也是企业保障业务连续性与安全可控性的基础实践。

一、华为云防火墙白名单的实操配置流程

登录华为云控制台后，需严格按路径进入“安全 > 云防火墙 > 访问控制策略”，切勿误入其他安全模块。新建规则时必须选择“允许”动作，并在源地址栏输入精确到/32的单IP或标准CIDR格式网段（如192.168.10.0/24），目标地址建议限定为具体云服务器ECS的私有IP或负载均衡实例VIP，避免使用“全部”。协议端口务必与业务实际一致：Web服务填TCP/80,443，数据库访问则明确填写TCP/3306或TCP/5432。关键一步是拖动规则至策略列表顶部，或在优先级字段手动设为1—系统默认阻断规则优先级为100，白名单规则必须低于该值才可优先生效。

二、Windows系统四类白名单生效路径详解

第一类是图形化快捷方式：通过“设置 > 隐私和安全性 > Windows安全中心 > 防火墙和网络保护 > 允许应用通过防火墙”，点击“更改设置”后添加.exe文件，必须分别勾选“专用”和“公用”网络类型，否则仅局域网内生效。第二类是高级安全防火墙规则：运行wf.msc，右键“出站规则 > 新建规则”，选择“程序”并指向软件完整路径（如C:\Program Files\WeChat\WeChat.exe），协议类型选“任何”，作用域中“远程IP地址”可指定合作方出口IP段。第三类是PowerShell强制注入：以管理员身份执行命令“New-NetFirewallRule -DisplayName 'WeChat-Out' -Direction Outbound -Program 'C:\Program Files\WeChat\WeChat.exe' -Action Allow -Profile Domain,Private,Public”。第四类端口级放行适用于服务类程序：如MySQL需新建入站规则，协议选TCP，本地端口填3306，作用域限定为管理IP段，避免全网开放。

三、验证与运维保障要点

规则保存后须等待30秒策略同步完成，可通过“流量日志”模块筛选源IP与目标端口，确认匹配“允许”动作且无后续阻断日志。企业用户应每月导出白名单规则表，核对IP有效性与业务关联性；当合作方更换出口IP或内部网络重构时，须同步更新白名单，严禁长期保留未验证的宽泛网段（如0.0.0.0/0）。白名单必须与威胁情报联动，若某白名单IP近期出现在CNCERT通报的恶意IP库中，应立即暂停并人工复核。

白名单不是一劳永逸的通行证，而是动态校准的安全契约。