如果您需要限制VPC內資源(例如ECS、ECI等)通過NAT網關訪問互聯網的出方向流量時,您可以為NAT網關開啟NAT邊界防火墻,并配置NAT邊界訪問控制策略,精細化管控私網資源到互聯網的訪問。
VPC內的私網資源通過NAT網關直接訪問互聯網時,可能存在未經授權的訪問、數據泄露、惡意流量攻擊等風險。您可以利用云防火墻的NAT邊界防火墻能力,通過指定訪問源、目的地址、端口、協議、應用等元素,只允許必要的流量通行,有效限制私網資源到互聯網的未授權訪問。
為NAT網關開啟NAT邊界防火墻后,NAT邊界防火墻支持防護VPC內私網資源(包括同一VPC內的資源和跨VPC的資源)流向該NAT網關的所有出方向流量。
前提條件
配置NAT邊界訪問控制策略
登錄云防火墻控制臺。
在左側導航欄,選擇。
在NAT邊界頁面,選擇待配置的NAT網關,單擊創建策略。
云防火墻會自動同步您當前賬號下關聯的NAT網關,您可以單擊下拉框選擇待配置的NAT網關。
在創建策略-NAT邊界面板,配置訪問控制策略,然后單擊確定。
配置項
說明
源類型
網絡流量的發起方。您需要選擇訪問源類型,并根據訪問源類型輸入發送流量的訪問源地址。
選擇IP類型時,需要輸入IP地址段。地址段需要使用標準掩碼格式,例如192.168.0.0/16。最多支持輸入2000個地址段,多個地址段之間使用半角逗號(,)分隔。
如果您同時輸入了多個IP地址段,云防火墻會自動將輸入的多個地址段創建為地址簿,并在您保存策略配置時提示您設置地址簿名稱。
選擇地址簿類型時,您需要提前創建地址簿。創建地址簿的具體操作,請參見地址簿管理。
訪問源
目的類型
網絡流量的接收方。您需要選擇目的類型,并根據目的類型輸入接收流量的目的地址。
選擇IP類型時,需要輸入IP地址段。地址段需要使用標準掩碼格式,例如192.168.0.0/16。最多支持輸入2000個地址段,多個地址段之間使用半角逗號(,)分隔。
如果您同時輸入了多個IP地址段,云防火墻會自動將輸入的多個地址段創建為地址簿,并在您保存策略配置時提示您設置地址簿名稱。
選擇地址簿類型時,您需要提前創建地址簿。創建地址簿的具體操作,請參見地址簿管理。
選擇域名類型時,您需要選擇域名的識別模式。目前提供三種域名的識別模式:
基于FQDN(報文提取Host/SNI):管理HTTP、HTTPS、SMTP、SMTPS、SSL五種協議流量時,建議使用此模式。
基于DNS動態解析:管理HTTP、HTTPS、SMTP、SMTPS、SSL以外的流量時,建議使用此模式。
重要此模式不支持泛域名。
同時基于FQDN與DNS動態解析(域名應用類型為HTTP/HTTPS/SSL/SMTP/STMPS):管理HTTP、HTTPS、SMTP、SMTPS、SSL五種協議流量,但部分或全部流量中未攜帶 HOST/SNI字段時,建議使用此模式。
重要此模式僅在開啟ACL引擎管理嚴格模式時生效。
選擇區域類型時,需要選擇目的地址所在的區域。可選中國區域或國際區域。
目的
協議類型
傳輸層協議類型,支持設置為:TCP、UDP、ICMP、ANY。不確定具體協議時可選擇ANY。
端口類型
設置目的端口類型和目的端口。
選擇端口類型時,需要輸入端口段。端口段中間通過正斜線(/)分隔,例如22/22、80/88。最多可添加2000個端口段,多個端口段之間使用半角逗號(,)隔開。
如果您同時輸入了多個端口段,云防火墻會自動將輸入的多個端口段創建為地址簿,并在您保存策略配置時提示您設置地址簿名稱。
地址簿:選擇地址簿類型時,您需要提前創建端口地址簿。創建地址簿的具體操作,請參見地址簿管理。
端口
應用
設置該訪問流量的應用類型。
域名模式使用DNS動態解析時,您可以選擇所有應用。
域名模式使用基于FQDN(報文提取Host/SNI)時,您只能選擇HTTP、HTTPS、SMTP、SMTPS或SSL。
域名模式使用同時基于FQDN(報文提取Host/SNI)與DNS動態解析時,您只能選擇HTTP、HTTPS、SMTP、SMTPS、SSL。
動作
設置匹配成功的流量在該條策略的放行情況。
放行:放行該流量。
拒絕:攔截該流量,并且不會提供任何形式的通知信息。
觀察:該模式下,默認放行流量。觀察一段時間后,您可根據需要調整為放行或拒絕。
描述
輸入該策略的備注內容,便于您后續查看時能快速區分每個策略的目的。
優先級
選擇該策略的優先級,默認為最后,表示優先級最低。
最前:指訪問控制策略生效的優先級最高,最先生效。
最后:指訪問控制策略生效的優先級最低,最后生效。
策略有效期
設置該策略的有效時間段。策略僅在有效時間段內才可用于匹配流量。
總是
單次時間段:選擇單次時間段。
重復周期:選擇重復的時間段和生效日期。
說明生效日期的開始時間應小于停止時間,預計策略生效延時3~5分鐘。
勾選無限重復,生效結束時間會自動設置為2099.12.31。
相關FAQ:訪問控制策略常見問題
啟用狀態
設置是否啟用策略。如果您創建策略時未啟用策略,可以在策略列表中開啟策略。
配置ACL引擎模式
配置訪問控制策略后,NAT邊界防火墻的ACL引擎模式默認為寬松模式。該模式下,如果出現未識別應用或域名的業務流量時,為了不影響業務,云防火墻默認放行這部分流量。您可以根據實際業務需要切換為嚴格模式。
在頁面,單擊訪問控制策略列表右上方ACL引擎管理。
在ACL引擎管理-NAT邊界防火墻面板,在需要切換模式的NAT網關的引擎模式列,單擊修改。
在修改引擎模式對話框,選擇引擎模式,然后單擊確定。
嚴格模式:開啟嚴格模式后,針對未識別應用或域名的流量將嚴格匹配所配置的策略,如果有配置拒絕策略,將拒絕未識別unknown流量業務訪問。
寬松模式:開啟寬松模式后,針對未識別unknown應用或域名的業務流量將放行,以優先保證業務。
查看策略的命中情況
業務運行一段時間后,您可以在訪問控制策略列表的命中次數/最近命中時間列,查看訪問控制策略的命中情況。
單擊命中次數可跳轉到流量日志頁面,查看流量日志。關于如何查看流量日志,請參見日志審計。
相關操作
創建策略后,您可以在訪問控制策略列表,對該策略編輯、刪除、復制或移動(移動即修改策略的優先級)。優先級修改后,策略原優先級之后的策略優先級都將相應依次遞減。
刪除策略后,該策略管控的流量將不受云防火墻的訪問控制。請謹慎刪除。
相關文檔
如果您需要管控私網資產到網站域名的訪問流量,請參見只允許私網主機訪問指定域名的策略配置教程。
訪問控制策略的工作原理,請參見訪問控制策略概述。
更多訪問控制策略配置原則,請參見訪問控制策略配置示例。
查看及管理訪問控制策略中的IP地址簿、端口地址簿、域名地址簿等,請參見地址簿管理。
更多關于訪問控制策略的配置和使用問題,請參見訪問控制策略常見問題。