初始化

更新时间：2026-03-23

确认Endpoint

云防火墙 API 的服务域名为：cfw.baidubce.com

API支持HTTP和HTTPS两种调用方式。为了提升数据的安全性，建议通过HTTPS调用。

获取密钥

要使用百度智能云CFW，您需要拥有一个有效的 AK（Access Key ID）和SK(Secret Access Key)用来进行签名认证。AK/SK是由系统分配给用户的，均为字符串，用于标识用户，为访问CFW做签名验证。可以通过如下步骤获得并了解您的AK/SK信息：注册百度智能云账号创建AK/SK

创建Client

每种具体的服务都有一个Client对象，为开发者与对应的服务进行交互封装了一系列易用的方法。开发者可参考SDK中具体服务对应的目录下的说明文档使用相应的服务。

使用AK/SK新建CFW Client

通过AK/SK方式访问CFW，用户可以参考如下代码新建一个CFW Client：

1import (
2    "github.com/baidubce/bce-sdk-go/services/cfw"
3)
4
5func main() {
6    // 用户的Access Key ID和Secret Access Key
7    ACCESS_KEY_ID, SECRET_ACCESS_KEY := <your-access-key-id>, <your-secret-access-key>
8
9    // 用户指定的Endpoint
10    ENDPOINT := <domain-name>
11
12    // 初始化一个cfwClient
13    cfwClient, err := cfw.NewClient(ACCESS_KEY_ID, SECRET_ACCESS_KEY, ENDPOINT)
14}

注意：ENDPOINT参数可以使用默认域名cfw.baidubce.com，也可以指定为特定的服务地址。

使用STS创建CFW Client

申请STS token

CFW可以通过STS机制实现第三方的临时授权访问。STS（Security Token Service）是百度云提供的临时授权服务。通过STS，您可以为第三方用户颁发一个自定义时效和权限的访问凭证。第三方用户可以使用该访问凭证直接调用百度云的API或SDK访问百度云资源。

通过STS方式访问CFW，用户需要先通过STS的client申请一个认证字符串。

用STS token新建cfw Client

申请好STS后，可将STS Token配置到CFW Client中，从而实现通过STS Token创建CFW Client。

代码示例

GO SDK实现了STS服务的接口，用户可以参考如下完整代码，实现申请STS Token和创建CFW Client对象：

1import (
2    "fmt"
3
4    "github.com/baidubce/bce-sdk-go/auth"         //导入认证模块
5    "github.com/baidubce/bce-sdk-go/services/cfw" //导入CFW服务模块
6    "github.com/baidubce/bce-sdk-go/services/sts" //导入STS服务模块
7)
8
9func main() {
10    // 创建STS服务的Client对象，Endpoint使用默认值
11    AK, SK := <your-access-key-id>, <your-secret-access-key>
12    stsClient, err := sts.NewClient(AK, SK)
13    if err != nil {
14        fmt.Println("create sts client object :", err)
15        return
16    }
17
18    // 获取临时认证token，有效期为60秒，ACL为空
19    stsObj, err := stsClient.GetSessionToken(60, "")
20    if err != nil {
21        fmt.Println("get session token failed:", err)
22        return
23    }
24    fmt.Println("GetSessionToken result:")
25    fmt.Println("  accessKeyId:", stsObj.AccessKeyId)
26    fmt.Println("  secretAccessKey:", stsObj.SecretAccessKey)
27    fmt.Println("  sessionToken:", stsObj.SessionToken)
28    fmt.Println("  createTime:", stsObj.CreateTime)
29    fmt.Println("  expiration:", stsObj.Expiration)
30    fmt.Println("  userId:", stsObj.UserId)
31
32    // 使用申请的临时STS创建CFW服务的Client对象，Endpoint使用默认值
33    cfwClient, err := cfw.NewClient(stsObj.AccessKeyId, stsObj.SecretAccessKey, "cfw.baidubce.com")
34    if err != nil {
35        fmt.Println("create cfw client failed:", err)
36        return
37    }
38    stsCredential, err := auth.NewSessionBceCredentials(
39        stsObj.AccessKeyId,
40        stsObj.SecretAccessKey,
41        stsObj.SessionToken)
42    if err != nil {
43        fmt.Println("create sts credential object failed:", err)
44        return
45    }
46    cfwClient.Config.Credentials = stsCredential
47}

注意：目前使用STS配置CFW Client时，STS的Endpoint需配置为http://sts.bj.baidubce.com。

调用功能接口

开发者基于创建的对应服务的Client对象，即可调用相应的功能接口，使用百度云产品的功能。

示例

下面以百度智能云云防火墙（CFW）为例，给出一个基本的使用示例，详细使用说明请参考各服务的详细说明文档。

1import (
2    "github.com/baidubce/bce-sdk-go/services/cfw"
3)
4
5func main() {
6    // 用户的Access Key ID和Secret Access Key
7    ACCESS_KEY_ID, SECRET_ACCESS_KEY := "<your-access-key-id>", "<your-secret-access-key>"
8
9    // CFW服务的Endpoint
10    ENDPOINT := "cfw.baidubce.com"
11
12    // 创建CFW服务的Client
13	cfwClient, _ := cfw.NewClient(ACCESS_KEY_ID, SECRET_ACCESS_KEY, ENDPOINT)
14
15    // 创建CFW策略
16	args := &cfw.CreateCfwRequest{
17		Name:        "sdk-cfw",
18		Description: "test firewall policy",
19		CfwRules: []cfw.CreateRule{
20			{
21				IpVersion:     4,
22				Priority:      1,
23				Protocol:      "TCP",
24				Direction:     "in",
25				SourceAddress: "192.168.0.1",
26				DestAddress:   "192.168.0.2",
27				SourcePort:    "80",
28				DestPort:      "88",
29				Action:        "allow",
30			},
31		},
32	}
33	result, err := cfwClient.CreateCfw(args)
34    if err != nil {
35        fmt.Println("create cfw failed:", err)
36    }
37    fmt.Println("create cfw success, cfw id is:", result.CfwId)
38}

配置

使用HTTPS协议

该SDK支持使用HTTPS协议访问百度云的服务产品。要使用HTTPS协议，只需在您创建对应服务的Client对象时指定的Endpoint中指明使用https协议的域名即可，SDK会自动识别并使用HTTPS协议访问。

1// import "github.com/baidubce/bce-sdk-go/services/cfw"
2
3ENDPOINT := "https://cfw.baidubce.com" //指明使用HTTPS协议
4AK, SK := <your-access-key-id>, <your-secret-access-key>
5cfwClient, _ := cfw.NewClient(AK, SK, ENDPOINT)

配置CFW Client

如果用户需要配置CFW Client的一些细节的参数，可以在创建CFW Client对象之后，使用该对象的导出字段Config进行自定义配置，可以为客户端配置代理，最大连接数等参数。

使用代理

下面一段代码可以让客户端使用代理访问CFW服务：

1// import "github.com/baidubce/bce-sdk-go/services/cfw"
2
3//创建CFW Client对象
4AK, SK := <your-access-key-id>, <your-secret-access-key>
5ENDPOINT := "cfw.baidubce.com"
6client, _ := cfw.NewClient(AK, SK, ENDPOINT)
7
8//代理使用本地的8080端口
9client.Config.ProxyUrl = "127.0.0.1:8080"

设置网络参数

用户可以通过如下的示例代码进行网络参数的设置：

1// import "github.com/baidubce/bce-sdk-go/services/cfw"
2
3AK, SK := <your-access-key-id>, <your-secret-access-key>
4ENDPOINT := "cfw.baidubce.com"
5client, _ := cfw.NewClient(AK, SK, ENDPOINT)
6
7// 配置不进行重试，默认为Back Off重试
8client.Config.Retry = bce.NewNoRetryPolicy()
9
10// 配置连接超时时间为30秒
11client.Config.ConnectionTimeoutInMillis = 30 * 1000

配置生成签名字符串选项

1// import "github.com/baidubce/bce-sdk-go/services/cfw"
2
3AK, SK := <your-access-key-id>, <your-secret-access-key>
4ENDPOINT := "cfw.baidubce.com"
5client, _ := cfw.NewClient(AK, SK, ENDPOINT)
6
7// 配置签名使用的HTTP请求头为`Host`
8headersToSign := map[string]struct{}{"Host": struct{}{}}
9client.Config.SignOption.HeadersToSign = HeadersToSign
10
11// 配置签名的有效期为30秒
12client.Config.SignOption.ExpireSeconds = 30

详细配置

开发者使用GO SDK时，创建的对应服务的Client对象，其导出字段Config提供如下参数以便支持详细配置：

配置项名称	类型	含义
Endpoint	string	请求服务的域名
ProxyUrl	string	客户端请求的代理地址
Region	string	请求资源的区域
UserAgent	string	用户名称，HTTP请求的User-Agent头
Credentials	*auth.BceCredentials	请求的鉴权对象，分为普通AK/SK与STS两种
SignOption	*auth.SignOptions	认证字符串签名选项
Retry	RetryPolicy	连接重试策略
ConnectionTimeoutInMillis	int	连接超时时间，单位毫秒，默认20分钟

说明：

Credentials字段使用auth.NewBceCredentials与auth.NewSessionBceCredentials函数创建，默认使用前者，后者为使用STS鉴权时使用。
SignOption字段为生成签名字符串时的选项，详见下表说明：

名称	类型	含义
HeadersToSign	map[string]struct{}	生成签名字符串时使用的HTTP头
Timestamp	int64	生成的签名字符串中使用的时间戳，默认使用请求发送时的值
ExpireSeconds	int	签名字符串的有效期

Plain Text

1 其中，HeadersToSign默认为`Host`，`Content-Type`，`Content-Length`，`Content-MD5`；TimeStamp一般为零值，表示使用调用生成认证字符串时的时间戳，用户一般不应该明确指定该字段的值；ExpireSeconds默认为1800秒即30分钟。

Retry字段指定重试策略，目前支持两种：NoRetryPolicy和BackOffRetryPolicy。默认使用后者，该重试策略是指定最大重试次数、最长重试时间和重试基数，按照重试基数乘以2的指数级增长的方式进行重试，直到达到最大重试测试或者最长重试时间为止。

1// client为某一种具体服务的`Client`对象
2
3// 配置请求代理地址
4client.Config.ProxyUrl = "127.0.0.1:8080"
5
6// 配置不进行重试，默认为Back Off重试
7client.Config.Retry = bce.NewNoRetryPolicy()
8
9// 配置连接超时时间为30秒
10client.Config.ConnectionTimeoutInMillis = 30 * 1000
11
12// 配置签名使用的HTTP请求头为`Host`
13client.Config.SignOption.HeadersToSign = map[string]struct{}{"Host": struct{}{}}
14
15// 配置签名的有效期为30秒
16client.Config.SignOption.ExpireSeconds = 30

评价此篇文章

有帮助没帮助

安装SDK工具包

CFW

百度智能云

云防火墙 CFW