腾讯云国际站 腾讯云防火墙优先级规则

你有没有过这种体验？

在腾讯云控制台里，吭哧吭哧配了五条防火墙规则：放行80端口、拦截恶意IP段、只允许内网访问数据库、禁止境外SSH、给测试服务器开个临时白名单……配完一保存，心满意足喝口枸杞水，结果——网站打不开、监控告警炸了、运维同事微信疯狂@你：“你刚动啥了？！”

你翻日志、查流量、抓包、重启服务……折腾两小时，最后发现：哦，那条“放行80”的规则，排在了“拒绝所有”的后面。

不是你手抖，是防火墙在跟你玩“谁先说话算数”的游戏——而这个游戏的裁判，叫优先级规则。

今天咱不念PPT，不甩文档截图，就坐你工位对面，泡杯浓茶，掰开揉碎讲清楚：腾讯云防火墙的优先级到底怎么算？为什么它不按你写的顺序执行？为什么“放行”输给“拒绝”？为什么加了白名单还被拦？以及——最关键的，怎么一眼看出哪条规则正在悄悄背刺你。

第一关：别信“从上到下”，信“数字越小越霸道”

腾讯云国际站 很多新手（包括当年的我）以为：我在控制台拖拽把A规则拖到B上面，A就一定先执行。错！腾讯云防火墙压根不认拖拽顺序，它只认一个东西：优先级数值（Priority）。

这个数值默认是100、200、300……每条规则一个独立数字，数字越小，优先级越高，匹配越早。哪怕你把一条Priority=999的“放行全部”拖到最顶上，它照样排在Priority=1的“拦截黑客IP”后面挨揍。

所以第一铁律：别管UI上谁在上谁在下，打开编辑页，盯死那个Priority输入框。想让某条规则当老大？把它Priority改成1；想让它靠边站？改成9999。就这么简单粗暴。

第二关：匹配不是“选最优”，是“找第一个命中”

防火墙不像搜索引擎能给你排个Top5。它的逻辑极简：收到一个数据包（比如来自IP 203.123.45.67、目标端口22、协议TCP），就从Priority最小的规则开始一条条比对：

• Rule #1（Priority=1）：源IP在192.168.0.0/16？→ 不是 → 下一条
• Rule #2（Priority=5）：源IP是203.123.45.67？→ 是！动作是“拒绝”→ 咔嚓，丢包，流程结束

后面Priority=10/50/100的“允许该IP连SSH”？压根没机会读到。它不是没生效，是根本没轮到它发言。

这就引出第二铁律：防火墙不协商、不妥协、不二次投票，只认“第一个说中”的人。所以，通用规则（比如“拒绝所有”）必须垫底（Priority设成最大值），精准规则（比如“只放行财务部IP访问ERP”）必须抢头条（Priority设成最小值）。

第三关：动作冲突？不是平局，是“拒绝”自动赢

有朋友问：“我写了两条规则，Priority都是10，一条放行80，一条拒绝80，它听谁的？”

答案：不会出现这种情况。腾讯云控制台会直接报错，不让你保存。但更隐蔽的冲突是：不同维度的规则打架。

比如：Rule A（Priority=10）：源IP=1.2.3.4，动作=允许；Rule B（Priority=20）：目的端口=22，动作=拒绝。

这时来了一个包：源IP=1.2.3.4，目的端口=22。Rule A先命中（IP对），放行；Rule B后轮到，但流程已终止。所以结果是——放行。

但如果调换Priority：Rule A（Priority=20）：源IP=1.2.3.4，允许；Rule B（Priority=10）：目的端口=22，拒绝。那结果就是——拒绝。

看明白没？冲突的本质，永远是Priority排序问题，不是规则内容博弈。所谓“拒绝优先于允许”，只是因为老司机习惯把兜底拒绝设成高Priority（比如9999），而业务放行设成低Priority（比如10），于是“拒绝”总在后面守门——但它真没特权，纯属站位好。

第四关：三大经典翻车现场，照着自查

翻车现场①：白名单失效
你加了“允许192.168.10.0/24访问数据库”，但DB还是连不上。检查Priority——发现它被设成了500，而上面有条Priority=10的“拒绝所有非内网流量”。解决：把白名单Priority改成5。

翻车现场②：临时放行变永久后门
测试时加了“允许0.0.0.0/0访问8080”，Priority=100。上线后忘了删，结果被扫出漏洞。教训：临时规则务必设超低Priority（如1），且加醒目标注，用完立刻删或禁用——别指望自己记得。

翻车现场③：地域封禁失灵
开了“拒绝海外IP”，但日本客户还能访问。原因：地域规则依赖IP库，而腾讯云地域标签有延迟（尤其新IP），且规则本身不能跨地域链式判断。正确姿势：地域规则Priority设低（如5），再配合精确IP黑名单补漏。

第五关：三招救命调试法

① 开启流量日志，别猜，看实锤
在云防火墙控制台开启“全量日志”或“拒绝日志”，等故障复现，直接搜源IP+时间戳。日志里会明写：“匹配规则ID：fw-rul-xxxxx，动作：拒绝，匹配字段：源IP”。这比你对着规则列表瞪眼强一百倍。

② 用“模拟匹配”功能（重点！）
腾讯云控制台右上角有个小闪电图标——“策略模拟”。输一个真实流量参数（源IP、目的IP、端口、协议），它秒告诉你：会匹配哪条规则、动作是什么、为什么没匹配其他规则。这是上帝视角，不用重启、不用等复现。

③ 做减法，不是加法
规则太多？先把所有规则禁用，只留一条Priority=1的“允许本机自访问”，然后逐条启用+测试。谁一启用就崩，谁就是凶手。二分法排查，十分钟定位。

最后送你一句保命口诀：

“优先级数字小，才是真大佬；
匹配只认第一个，后面统统不算数；
白名单要抢头条，拒绝规则垫底跑；
调试先开日志看，模拟匹配少熬夜；
规则宁缺毋滥，删比写更重要。”

下次再看到防火墙规则列表，别急着改条件，先低头看Priority。那个小小的数字，才是真正的权力中心。

它不声不响，却决定着每一个字节的命运——就像你改的那一行代码，看似微小，却可能让整个系统呼吸顺畅，或者，瞬间窒息。

祝你规则清爽，流量自由，告警静音。