配置VPC邊界訪問控制策略
VPC邊界防火墻可用于檢測和控制通過云企業(yè)網(wǎng)或者高速通道連接的網(wǎng)絡實例間的通信流量,默認放行所有流量。您可以通過訪問控制策略對實例間的流量進行管控,阻斷可疑流量或惡意流量,放行可信流量。本文介紹如何配置VPC邊界防火墻的訪問控制策略。
前提條件
已創(chuàng)建并開啟VPC邊界防火墻。更多內(nèi)容,請參見配置企業(yè)版轉(zhuǎn)發(fā)路由器的VPC邊界防火墻。
已購買足夠的策略授權(quán)規(guī)格數(shù)。您可以在訪問控制策略概述。
頁面,查看策略的使用規(guī)格。關(guān)于策略占用規(guī)格的計算方法,請參見如果剩余可用的策略授權(quán)規(guī)格不足,您可以單擊規(guī)格升級,購買訪問控制全局擴展數(shù)量。更多操作,請參見購買云防火墻服務。
配置VPC邊界訪問控制策略
在對兩個VPC之間的流量進行管控時,可以對不可信或業(yè)務不需要的流量配置拒絕訪問策略,再放行其他流量(黑名單模式);或者對可信或業(yè)務需要的流量配置放行訪問策略,再拒絕其他流量(白名單模式)。關(guān)于VPC邊界訪問控制策略的配置示例,請參見訪問控制策略配置示例。
登錄云防火墻控制臺。
左側(cè)導航欄,選擇 。
在VPC邊界頁面,切換到你需要配置策略的業(yè)務實例。
單擊創(chuàng)建策略,參考以下表格,配置策略詳情,然后單擊確定。
配置項
說明
源類型
網(wǎng)絡連接的發(fā)起方。您需要選擇訪問源類型,并根據(jù)訪問源類型輸入發(fā)送流量的訪問源地址。
選擇IP類型時,需要輸入IP地址段。地址段需要使用標準掩碼格式,例如192.168.0.0/16。最多支持輸入2000個地址段,多個地址段之間使用半角逗號(,)分隔。
如果您同時輸入了多個IP地址段,云防火墻會自動將輸入的多個地址段創(chuàng)建為地址簿,并在您保存策略配置時提示您設置地址簿名稱。
選擇地址簿類型時,您需要提前創(chuàng)建地址簿。創(chuàng)建地址簿的具體操作,請參見地址簿管理。
訪問源
目的類型
網(wǎng)絡流量的接收方。您需要選擇目的類型,并根據(jù)目的類型輸入接收流量的目的地址。
選擇IP類型時,需要輸入IP地址段。地址段需要使用標準掩碼格式,例如192.168.0.0/16。最多支持輸入2000個地址段,多個地址段之間使用半角逗號(,)分隔。
如果您同時輸入了多個IP地址段,云防火墻會自動將輸入的多個地址段創(chuàng)建為地址簿,并在您保存策略配置時提示您設置地址簿名稱。
選擇地址簿類型時,可以選擇已創(chuàng)建地址簿(IPv4地址簿或域名地址簿)。
如果您未創(chuàng)建地址簿,可以單擊新建地址簿,直接創(chuàng)建IPv4地址簿或域名地址簿用于本次策略配置。關(guān)于地址簿的相關(guān)說明,請參見地址簿管理。
選擇域名類型時,需要輸入目的域名地址,支持泛域名(例如*.aliyun.com)。
目的
協(xié)議類型
傳輸層協(xié)議類型,支持設置為:TCP、UDP、ICMP、ANY。不確定具體協(xié)議時可選擇ANY。
端口類型
設置目的端口類型和目的端口。
選擇端口類型時,需要輸入端口段。端口段中間通過正斜線(/)分隔,例如22/22、80/88。最多可添加2000個端口段,多個端口段之間使用半角逗號(,)隔開。
如果您同時輸入了多個端口段,云防火墻會自動將輸入的多個端口段創(chuàng)建為地址簿,并在您保存策略配置時提示您設置地址簿名稱。
地址簿:選擇地址簿類型時,您需要提前創(chuàng)建端口地址簿。創(chuàng)建地址簿的具體操作,請參見地址簿管理。
端口
應用
設置訪問流量的應用類型。支持選擇多個應用類型。
協(xié)議類型選擇TCP時,應用類型支持選擇為HTTP、HTTPS、SMTP、SMTPS、SSL、FTP等。
協(xié)議類型選擇UDP、ICMP或ANY時,應用類型僅允許選擇為ANY。
目的類型選擇域名地址簿或域名時,應用類型僅允許選擇為HTTP、HTTPS、SMTP和SMTPS。
說明識別應用依賴應用報文特征(協(xié)議識別不依據(jù)端口),應用識別失敗時,該會話流量會被放行。如果您想攔截未知應用類型的流量,建議您開啟互聯(lián)網(wǎng)邊界防火墻嚴格模式。更多信息,請參見訪問控制引擎模式介紹。
動作
設置匹配成功的流量在該條策略的放行情況。
放行:放行該流量。
拒絕:攔截該流量,并且不會提供任何形式的通知信息。
觀察:該模式下,默認放行流量。觀察一段時間后,您可根據(jù)需要調(diào)整為放行或拒絕。
描述
輸入該策略的備注內(nèi)容,便于您后續(xù)查看時能快速區(qū)分每個策略的目的。
優(yōu)先級
選擇該策略的優(yōu)先級,默認為最后,表示優(yōu)先級最低。
最前:指訪問控制策略生效的優(yōu)先級最高,最先生效。
最后:指訪問控制策略生效的優(yōu)先級最低,最后生效。
策略有效期
設置該策略的有效時間段。策略僅在有效時間段內(nèi)才可用于匹配流量。
總是
單次時間段:選擇單次時間段。
重復周期:選擇重復的時間段和生效日期。
說明生效日期的開始時間應小于停止時間,預計策略生效延時3~5分鐘。
勾選無限重復,生效結(jié)束時間會自動設置為2099.12.31。
相關(guān)FAQ:訪問控制策略常見問題
啟用狀態(tài)
設置是否啟用策略。如果您創(chuàng)建策略時未啟用策略,可以在策略列表中開啟策略。
查看策略的命中情況
業(yè)務運行一段時間后,您可以在訪問控制策略列表的命中次數(shù)/最近命中時間列,查看訪問控制策略的命中情況。
單擊命中次數(shù)可跳轉(zhuǎn)到流量日志頁面,查看流量日志。關(guān)于如何查看流量日志,請參見日志審計。
相關(guān)操作
創(chuàng)建策略后,您可以在訪問控制策略列表,對該策略編輯、刪除、復制或移動(移動即修改策略的優(yōu)先級)。優(yōu)先級修改后,策略原優(yōu)先級之后的策略優(yōu)先級都將相應依次遞減。
訪問控制策略的優(yōu)先級可設置為1~N,其中N為當前已配置的訪問控制策略數(shù)量。數(shù)值越小,優(yōu)先級越高。優(yōu)先級修改后,策略原優(yōu)先級之后的策略優(yōu)先級都將相應依次遞減。
刪除策略后,該策略管控的流量將不受云防火墻的訪問控制。請謹慎刪除。
相關(guān)文檔
更多訪問控制策略配置原則,請參見訪問控制策略配置示例。
訪問控制策略的工作原理,請參見訪問控制策略概述。
查看及管理訪問控制策略中的IP地址簿、端口地址簿、域名地址簿等,請參見地址簿管理。
更多關(guān)于訪問控制策略的配置和使用問題,請參見訪問控制策略常見問題。