拒絕海外區(qū)域訪問主機的策略配置教程
如果您需要管控資產(chǎn)與特定地理區(qū)域的流量訪問,例如僅允許您的資產(chǎn)訪問某個區(qū)域、拒絕某個區(qū)域訪問您的資產(chǎn)等,您可以配置互聯(lián)網(wǎng)邊界訪問控制策略,并指定訪問源或目的類型為區(qū)域。本文以僅面向非海外用戶的業(yè)務場景為例,介紹如何設置策略來攔截海外區(qū)域的流量訪問。
場景示例
本文以下圖場景為例,您的業(yè)務中有一臺云服務器ECS(主機),綁定的彈性公網(wǎng)IP為47.100.XX.XX。考慮到您的業(yè)務面向非海外用戶,即無需海外區(qū)域的流量訪問您的資產(chǎn),因此,您需要配置拒絕所有來自海外區(qū)域的流量。
前提條件
您已經(jīng)購買了云防火墻服務,并且已開啟互聯(lián)網(wǎng)邊界防火墻保護。具體操作,請分別參見購買云防火墻服務、互聯(lián)網(wǎng)邊界防火墻。
配置步驟
登錄云防火墻控制臺。
在左側導航欄,選擇。
在入向頁簽,單擊創(chuàng)建策略。在創(chuàng)建入向策略面板,單擊自定義創(chuàng)建頁簽,然后配置策略。策略關鍵配置項如下:
配置項
說明
示例值
源類型
網(wǎng)絡流量的發(fā)起方。您需要選擇訪問源類型,并根據(jù)訪問源類型輸入發(fā)送流量的訪問源地址。
區(qū)域
訪問源
全部國際區(qū)域
目的類型
網(wǎng)絡流量的接收方。您需要選擇目的類型,并根據(jù)目的類型輸入接收流量的目的地址。
IP
目的
輸入ECS的公網(wǎng)IP地址47.100.XX.XX/32
協(xié)議類型
傳輸層協(xié)議類型,支持設置為:TCP、UDP、ICMP、ANY。不確定具體協(xié)議時可選擇ANY。
ANY
端口類型
設置目的端口類型和目的端口。
端口
端口
輸入0/0,表示所有端口
應用
設置訪問流量的應用類型。
ANY
動作
設置匹配成功的流量在該條策略的放行情況。
放行:放行該流量。
拒絕:攔截該流量,并且不會提供任何形式的通知信息。
觀察:該模式下,默認放行流量。觀察一段時間后,您可根據(jù)需要調(diào)整為放行或拒絕。
拒絕
優(yōu)先級
選擇該策略的優(yōu)先級,默認為最后,表示優(yōu)先級最低。
最前
策略有效期
設置該策略的有效時間段。策略僅在有效時間段內(nèi)才可用于匹配流量。
總是
啟用狀態(tài)
設置是否啟用策略。如果您創(chuàng)建策略時未啟用策略,可以在策略列表中開啟策略。
啟用
后續(xù)步驟
訪問控制策略配置完成后,默認情況下策略立即生效。您可以在訪問控制策略列表的命中次數(shù)/最近命中時間列,查看訪問控制策略的命中情況。
命中次數(shù)/最近命中時間列有顯示命中次數(shù)及時間,表示已有訪問流量命中該策略。您可以單擊命中次數(shù),跳轉到流量日志頁面查看詳細數(shù)據(jù)。具體操作,請參見日志審計。
相關文檔
互聯(lián)網(wǎng)邊界訪問控制策略的詳細配置指導,請參見互聯(lián)網(wǎng)邊界(出入雙向流量)。
更多訪問控制策略配置原則,請參見訪問控制策略配置示例。
更多關于訪問控制策略的配置和使用問題,請參見訪問控制策略常見問題。