公網資產直接存取互連網,可能會導致核心業務資料泄露、業務系統遭受網路攻擊等風險,為此,您可以配置互連網邊界存取控制策略,管控公網資產和互連網之間的未授權訪問,降低資料泄露風險和資產在互連網的暴露面。本文以配置僅允許主機訪問特定網站網域名稱為例,介紹如何設定互連網邊界存取控制策略。
情境樣本
本文以下圖情境為例,您的業務中有一台Elastic Compute Service(主機),綁定的Elastic IP Address為47.100.XX.XX,出於資產安全考慮,您需要配置僅允許主機訪問www.aliyun.com網站。
前提條件
您已經購買了Cloud Firewall服務,並且已開啟互連網邊界防火牆保護。具體操作,請分別參見購買Cloud Firewall服務、互連網邊界防火牆。
配置步驟
在左側導覽列,選擇。
在出向頁簽,單擊新增策略。在新增內-外策略面板,單擊自定义创建頁簽。
配置一條允許主機訪問www.aliyun.com的高優先順序策略和一條拒絕主機訪問所有公網的低優先順序策略。
配置一條允許主機訪問www.aliyun.com的策略,關鍵配置項如下:
配置項
說明
樣本值
源類型
網路流量的發起方。您需要選擇訪問源類型,並根據類型輸入地址。
IP
訪問源
輸入ECS的公網IP地址,本樣本為47.100.XX.XX/32
目的類型
網路流量的接收方。您需要選擇目的類型,並根據類型輸入地址。
網域名稱
目的
輸入允許主機訪問的網站網域名稱:www.aliyun.com
說明您也可以對該網域名稱進行DNS解析,擷取到解析後的IP地址。
協議類型
傳輸層協議類型,支援設定為:TCP、UDP、ICMP、ANY。不確定具體協議時可選擇ANY。
TCP
連接埠類型
設定目的連接埠類型和目的連接埠。
連接埠
連接埠
輸入0/0,表示所有連接埠。
應用
設定訪問流量的應用類型。
ANY
動作
設定匹配成功的流量在該條策略的允許存取情況。
允許存取:允許存取該流量。
拒絕:攔截該流量,並且不會提供任何形式的通知資訊。
觀察:該模式下,預設允許存取流量。您可通過流量日誌的相關欄位篩選並觀察這部分流量,在觀察一段時間後,根據實際需求調整為允許存取或拒絕。
允許存取
描述
輸入該策略的備忘內容,便於您後續查看時能快速區分每個策略的目的。
到www.aliyun.com的允許存取策略
優先順序
選擇該策略的優先順序,預設為最後,表示優先順序最低。
最前
策略有效期間
設定該策略的有效時間段。策略僅在有效時間段內才可用於匹配流量。
總是
單次時間段:選擇單次時間段。
週期:選擇重複的時間段和生效日期。
說明生效日期的開始時間應小於停止時間,預計策略生效延時3~5分鐘。
勾選無限重複,生效結束時間會自動化佈建為2099.12.31。
相關FAQ:配置策略有效期間時,如果週期跨天會生效嗎?
總是
啟用狀態
設定是否啟用策略。如果您建立策略時未啟用策略,可以在策略列表中開啟策略。
啟用
配置一條拒絕主機訪問所有公網IP的策略,關鍵配置項如下:
訪問源:47.100.X.X/32
目的:0.0.0.0/0,表示所有主機的IP地址。
協議類型:ANY
連接埠:0/0,表示主機的所有連接埠。
應用:ANY
動作:拒絕
優先順序:最後
配置完成後,請確認允許主機訪問www.aliyun.com的策略優先順序高於拒絕主機訪問所有公網的策略。
查看策略的命中情況
業務運行一段時間後,您可以在存取控制策略列表的叫用次數/最近命中时间列,查看存取控制策略的命中情況。
單擊叫用次數可跳轉到流量日誌頁面,查看流量日誌。關於如何查看流量日誌,請參見日誌審計。
相關文檔
互連網邊界存取控制策略的詳細配置指導,請參見配置互連網邊界存取控制策略。
更多存取控制策略配置原則,請參見存取控制策略配置樣本。
更多關於存取控制策略的配置和使用問題,請參見存取控制策略常見問題。