如果您需要管控資產與特定地理地區的流量訪問,例如僅允許您的資產訪問某個地區、拒絕某個地區訪問您的資產等,您可以配置互連網邊界存取控制策略,並指定訪問源或目的類型為地區。本文以僅面向非海外使用者的業務情境為例,介紹如何設定策略來攔截海外地區的流量訪問。
情境樣本
本文以下圖情境為例,您的業務中有一台Elastic Compute Service(主機),綁定的Elastic IP Address為47.100.XX.XX。考慮到您的業務面向非海外使用者,即無需海外地區的流量訪問您的資產,因此,您需要配置拒絕所有來自海外地區的流量。
前提條件
您已經購買了Cloud Firewall服務,並且已開啟互連網邊界防火牆保護。具體操作,請分別參見購買Cloud Firewall服務、互連網邊界防火牆。
配置步驟
在左側導覽列,選擇。
在入向頁簽,單擊新增策略。在新增外-內策略面板,單擊自定义创建頁簽,然後配置策略。策略關鍵配置項如下:
配置項
說明
樣本值
源類型
網路流量的發起方。您需要選擇訪問源類型,並根據類型輸入地址。
區域
訪問源
全部國際區域
目的類型
網路流量的接收方。您需要選擇目的類型,並根據類型輸入地址。
IP
目的
輸入ECS的公網IP地址47.100.XX.XX/32
協議類型
傳輸層協議類型,支援設定為:TCP、UDP、ICMP、ANY。不確定具體協議時可選擇ANY。
ANY
連接埠類型
設定目的連接埠類型和目的連接埠。
連接埠
連接埠
輸入0/0,表示所有連接埠
應用
設定訪問流量的應用類型。
ANY
動作
設定匹配成功的流量在該條策略的允許存取情況。
允許存取:允許存取該流量。
拒絕:攔截該流量,並且不會提供任何形式的通知資訊。
觀察:該模式下,預設允許存取流量。觀察一段時間後,您可根據需要調整為允許存取或拒絕。
拒絕
優先順序
選擇該策略的優先順序,預設為最後,表示優先順序最低。
最前
策略有效期間
設定該策略的有效時間段。策略僅在有效時間段內才可用於匹配流量。
總是
啟用狀態
設定是否啟用策略。如果您建立策略時未啟用策略,可以在策略列表中開啟策略。
啟用
後續步驟
業務運行一段時間後,您可以在存取控制策略列表的叫用次數/最近命中时间列,查看存取控制策略的命中情況。
單擊叫用次數可跳轉到流量日誌頁面,查看流量日誌。關於如何查看流量日誌,請參見日誌審計。
相關文檔
互連網邊界存取控制策略的詳細配置指導,請參見配置互連網邊界存取控制策略。
更多存取控制策略配置原則,請參見存取控制策略配置樣本。
更多關於存取控制策略的配置和使用問題,請參見存取控制策略常見問題。