如果您需要精細化管控私網主機資產到互連網的流量訪問,您可以配置NAT邊界存取控制策略,攔截私網資產到互連網的未授權訪問,有效地降低核心業務資料泄露等風險。本文以配置僅允許私網主機訪問特定網站網域名稱為例,介紹如何設定NAT邊界存取控制策略。
情境樣本
本文以下圖情境為例,您的業務中有一台私網Elastic Compute Service(主機),通過公網NAT Gateway實現訪問互連網,其中,主機的私網IP為10.10.XX.XX。出於資產安全考慮,您需要配置僅允許主機訪問www.aliyun.com網站。
配置步驟
在左側導覽列,選擇。
在NAT边界頁面,選擇待配置的NAT Gateway,單擊新增策略。
Cloud Firewall會自動同步您當前帳號下關聯的NAT Gateway,您可以單擊下拉框選擇待配置的NAT Gateway。
在创建策略-NAT边界面板,然後配置一條允許主機訪問www.aliyun.com的高優先順序策略和一條拒絕主機訪問所有公網的低優先順序策略。
配置一條允許主機訪問www.aliyun.com的策略,關鍵配置項如下:
訪問源:10.10.X.X/32
目的類型:網域名稱
目的:www.aliyun.com
網域名稱識別模式:基於FQDN(報文提取Host/SNI)
協議類型:TCP
連接埠:443/443
應用:HTTPS
動作:允許存取
優先順序:最前
配置一條拒絕主機訪問所有公網IP的策略,關鍵配置項如下:
訪問源:10.10.X.X/32
目的:0.0.0.0/0,表示所有主機的IP地址
協議類型:ANY
連接埠:0/0,表示主機的所有連接埠
應用:ANY
動作:拒絕
優先順序:最後
配置完成後,請確認允許主機訪問www.aliyun.com的策略優先順序高於拒絕主機訪問所有公網的策略。
後續步驟
業務運行一段時間後,您可以在存取控制策略列表的叫用次數/最近命中时间列,查看存取控制策略的命中情況。
單擊叫用次數可跳轉到流量日誌頁面,查看流量日誌。關於如何查看流量日誌,請參見日誌審計。
相關文檔
NAT邊界存取控制策略的詳細配置指導,請參見配置NAT邊界存取控制策略。
更多存取控制策略配置原則,請參見存取控制策略配置樣本。
更多關於存取控制策略的配置和使用問題,請參見存取控制策略常見問題。