日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
有獎調(diào)研
輸入文檔關(guān)鍵字查找
首頁 云防火墻 操作指南 防護配置 訪問控制 配置訪問控制策略 配置VPC邊界訪問控制策略

配置VPC邊界訪問控制策略

更新時間:
產(chǎn)品詳情
相關(guān)技術(shù)圈
我的收藏

VPC邊界防火墻可用于檢測和控制通過云企業(yè)網(wǎng)或者高速通道連接的網(wǎng)絡實例間的通信流量,默認放行所有流量。您可以通過訪問控制策略對實例間的流量進行管控,阻斷可疑流量或惡意流量,放行可信流量。本文介紹如何配置VPC邊界防火墻的訪問控制策略。

前提條件

  • 已創(chuàng)建并開啟VPC邊界防火墻。更多內(nèi)容,請參見配置企業(yè)版轉(zhuǎn)發(fā)路由器的VPC邊界防火墻。

  • 已購買足夠的策略授權(quán)規(guī)格數(shù)。您可以在防護配置 > 訪問控制 > VPC邊界頁面,查看策略的使用規(guī)格。關(guān)于策略占用規(guī)格的計算方法,請參見訪問控制策略概述。

    如果剩余可用的策略授權(quán)規(guī)格不足,您可以單擊規(guī)格升級,購買訪問控制全局擴展數(shù)量。更多操作,請參見購買云防火墻服務。

    image..png

配置VPC邊界訪問控制策略

在對兩個VPC之間的流量進行管控時,可以對不可信或業(yè)務不需要的流量配置拒絕訪問策略,再放行其他流量(黑名單模式);或者對可信或業(yè)務需要的流量配置放行訪問策略,再拒絕其他流量(白名單模式)。關(guān)于VPC邊界訪問控制策略的配置示例,請參見訪問控制策略配置示例。

  1. 登錄云防火墻控制臺。

  2. 左側(cè)導航欄,選擇防護配置 > 訪問控制 > VPC邊界

  3. VPC邊界頁面,切換到你需要配置策略的業(yè)務實例。

    image

  4. 單擊創(chuàng)建策略,參考以下表格,配置策略詳情,然后單擊確定

    配置項

    說明

    源類型

    網(wǎng)絡連接的發(fā)起方。您需要選擇訪問源類型,并根據(jù)訪問源類型輸入發(fā)送流量的訪問源地址。

    • 選擇IP類型時,需要輸入IP地址段。地址段需要使用標準掩碼格式,例如192.168.0.0/16。最多支持輸入2000個地址段,多個地址段之間使用半角逗號(,)分隔。

      如果您同時輸入了多個IP地址段,云防火墻會自動將輸入的多個地址段創(chuàng)建為地址簿,并在您保存策略配置時提示您設置地址簿名稱。

    • 選擇地址簿類型時,您需要提前創(chuàng)建地址簿。創(chuàng)建地址簿的具體操作,請參見地址簿管理。

    訪問源

    目的類型

    網(wǎng)絡流量的接收方。您需要選擇目的類型,并根據(jù)目的類型輸入接收流量的目的地址。

    • 選擇IP類型時,需要輸入IP地址段。地址段需要使用標準掩碼格式,例如192.168.0.0/16。最多支持輸入2000個地址段,多個地址段之間使用半角逗號(,)分隔。

      如果您同時輸入了多個IP地址段,云防火墻會自動將輸入的多個地址段創(chuàng)建為地址簿,并在您保存策略配置時提示您設置地址簿名稱。

    • 選擇地址簿類型時,可以選擇已創(chuàng)建地址簿(IPv4地址簿或域名地址簿)。

      如果您未創(chuàng)建地址簿,可以單擊新建地址簿,直接創(chuàng)建IPv4地址簿或域名地址簿用于本次策略配置。關(guān)于地址簿的相關(guān)說明,請參見地址簿管理。

    • 選擇域名類型時,需要輸入目的域名地址,支持泛域名(例如*.aliyun.com)。

    目的

    協(xié)議類型

    傳輸層協(xié)議類型,支持設置為:TCP、UDPICMPANY。不確定具體協(xié)議時可選擇ANY。

    端口類型

    設置目的端口類型和目的端口。

    • 選擇端口類型時,需要輸入端口段。端口段中間通過正斜線(/)分隔,例如22/22、80/88。最多可添加2000個端口段,多個端口段之間使用半角逗號(,)隔開。

      如果您同時輸入了多個端口段,云防火墻會自動將輸入的多個端口段創(chuàng)建為地址簿,并在您保存策略配置時提示您設置地址簿名稱。

    • 地址簿:選擇地址簿類型時,您需要提前創(chuàng)建端口地址簿。創(chuàng)建地址簿的具體操作,請參見地址簿管理。

    端口

    應用

    設置訪問流量的應用類型。支持選擇多個應用類型。

    • 協(xié)議類型選擇TCP時,應用類型支持選擇為HTTPHTTPS、SMTP、SMTPSSSL、FTP等。

    • 協(xié)議類型選擇UDP、ICMPANY時,應用類型僅允許選擇為ANY。

    • 目的類型選擇域名地址簿或域名時,應用類型僅允許選擇為HTTP、HTTPSSMTPSMTPS。

    說明

    識別應用依賴應用報文特征(協(xié)議識別不依據(jù)端口),應用識別失敗時,該會話流量會被放行。如果您想攔截未知應用類型的流量,建議您開啟互聯(lián)網(wǎng)邊界防火墻嚴格模式。更多信息,請參見訪問控制引擎模式介紹。

    動作

    設置匹配成功的流量在該條策略的放行情況。

    • 放行:放行該流量。

    • 拒絕:攔截該流量,并且不會提供任何形式的通知信息。

    • 觀察:該模式下,默認放行流量。觀察一段時間后,您可根據(jù)需要調(diào)整為放行拒絕。

    描述

    輸入該策略的備注內(nèi)容,便于您后續(xù)查看時能快速區(qū)分每個策略的目的。

    優(yōu)先級

    選擇該策略的優(yōu)先級,默認為最后,表示優(yōu)先級最低。

    • 最前:指訪問控制策略生效的優(yōu)先級最高,最先生效。

    • 最后:指訪問控制策略生效的優(yōu)先級最低,最后生效。

    策略有效期

    設置該策略的有效時間段。策略僅在有效時間段內(nèi)才可用于匹配流量。

    • 總是

    • 單次時間段:選擇單次時間段。

    • 重復周期:選擇重復的時間段和生效日期。

      說明

      • 生效日期的開始時間應小于停止時間,預計策略生效延時3~5分鐘。

      • 勾選無限重復,生效結(jié)束時間會自動設置為2099.12.31。

      • 相關(guān)FAQ:訪問控制策略常見問題

    啟用狀態(tài)

    設置是否啟用策略。如果您創(chuàng)建策略時未啟用策略,可以在策略列表中開啟策略。

查看策略的命中情況

業(yè)務運行一段時間后,您可以在訪問控制策略列表的命中次數(shù)/最近命中時間列,查看訪問控制策略的命中情況。

單擊命中次數(shù)可跳轉(zhuǎn)到流量日志頁面,查看流量日志。關(guān)于如何查看流量日志,請參見日志審計。

image.png

相關(guān)操作

創(chuàng)建策略后,您可以在訪問控制策略列表,對該策略編輯、刪除、復制或移動(移動即修改策略的優(yōu)先級)。優(yōu)先級修改后,策略原優(yōu)先級之后的策略優(yōu)先級都將相應依次遞減。

訪問控制策略的優(yōu)先級可設置為1~N,其中N為當前已配置的訪問控制策略數(shù)量。數(shù)值越小,優(yōu)先級越高。優(yōu)先級修改后,策略原優(yōu)先級之后的策略優(yōu)先級都將相應依次遞減。

重要

刪除策略后,該策略管控的流量將不受云防火墻的訪問控制。請謹慎刪除。

相關(guān)文檔