本文介紹常見的存取控制策略配置樣本,幫您更清楚地瞭解如何配置互連網邊界防火牆、VPC邊界防火牆、主機邊界防火牆的存取控制策略。
互連網邊界防火牆策略配置樣本
Cloud Firewall的入方向和出方向流量是指面向互連網的流量,也就是南北向流量。您可以通過Cloud Firewall存取控制功能對南北向的存取控制策略進行自訂配置,從而實現對訪問流量的精準控制、保護您的網路安全。關於互連網邊界防火牆策略的配置項介紹,請參見配置互連網邊界存取控制策略。
只允許公網流量訪問指定連接埠的策略(入方向)
樣本:ECS(主機)IP地址是10.1.XX.XX,綁定的EIP是200.2.XX.XX/32,需要設定所有公網(0.0.0.0/0)流量只允許訪問主機的TCP 80連接埠。
在左側導覽列,選擇。
在入向頁簽,單擊建立策略。在建立入向策略面板的自訂建立頁簽,配置如下策略。
配置一條允許所有公網流量訪問主機的策略,單擊確定。
關鍵配置項如下:
配置項
說明
樣本值
源類型
網路流量的發起方。您需要選擇訪問源類型,並根據類型輸入地址。
IP
訪問源
0.0.0.0/0
說明0.0.0.0/0表示所有公網IP。
目的類型
網路流量的接收方。您需要選擇目的類型,並根據類型輸入地址。
IP
目的
200.2.XX.XX/32
協議類型
傳輸層協議類型,支援設定為:TCP、UDP、ICMP、ANY。不確定具體協議時可選擇ANY。
TCP
連接埠類型
設定目的連接埠類型和目的連接埠。
連接埠
連接埠
80/80
應用
設定訪問流量的應用類型。
ANY
動作
設定匹配成功的流量在該條策略的允許存取情況。
允許存取
優先順序
選擇該策略的優先順序,預設為最後,表示優先順序最低。
最前
啟用狀態
設定是否啟用策略。如果您建立策略時未啟用策略,可以在策略列表中開啟策略。
啟用
配置一條拒絕所有公網流量訪問所有主機的策略,單擊確定。
參考上述允許存取策略,配置拒絕策略,關鍵配置項如下:
目的:0.0.0.0/0
說明0.0.0.0/0表示所有主機的IP地址。
協議類型:ANY
連接埠:0/0
說明0/0表示主機的所有連接埠。
應用:ANY
動作:拒絕
優先順序:最後
配置完成後,您需要確認允許外到內流量訪問主機的TCP 80連接埠的策略優先順序高於拒絕所有外到內流量訪問主機的策略。
VPC邊界防火牆策略配置樣本
VPC邊界防火牆可用於檢測和控制兩個VPC間的通訊流量,也就是東西向流量。在對兩個VPC之間的流量管控時,您需要拒絕可疑流量或惡意流量,或者先允許存取可信流量,再拒絕其他地址的訪問。關於VPC邊界防火牆策略的配置項介紹,請參見配置VPC邊界存取控制策略。
不同VPC內ECS之間禁止訪問
兩個VPC同屬於一個雲企業網,或者已通過Express Connect串連,則這兩個VPC下部署的ECS之間可以互訪。
樣本:VPC1和VPC2同屬於一個雲企業網,VPC1下部署了ECS1執行個體(10.33.XX.XX/32),VPC2下部署了ECS2執行個體(10.66.XX.XX/32),需要禁止ECS1訪問ECS2。
左側導覽列,選擇。
在VPC邊界頁面,單擊建立策略。
在建立策略-VPC邊界面板,配置如下策略,然後單擊確認。
關鍵配置項如下:
配置項
說明
樣本值
源類型
訪問源地址的類型。
IP
訪問源
發送流量的源地址。
10.33.XX.XX/32
目的類型
目的地址類型。
IP
目的
設定接收流量的目的地址。
10.66.XX.XX/32
協議類型
設定傳輸的協議類型。
TCP
連接埠類型
設定連接埠類型。
連接埠
連接埠
設定需要放開或限制的連接埠。可根據連接埠類型的配置項,手動輸入單個連接埠,或者單擊選擇,從地址簿中選擇預先配置的連接埠地址簿。
0/0
應用
設定訪問流量的應用類型。
ANY
動作
允許或拒絕該流量通過VPC邊界防火牆。
攔截
主機邊界防火牆(ECS執行個體間)策略配置樣本
主機邊界防火牆可以對ECS執行個體間的入流量和出流量進行存取控制,限制ECS執行個體間的未授權訪問。主機邊界防火牆的存取控制策略發布後,會自動同步到ECS安全性群組並生效。關於主機邊界防火牆策略的配置項介紹,請參見配置主機邊界存取控制策略。
同一策略組中ECS執行個體之間實現互訪
如果您通過ECS控制台來設定安全性群組規則,同一安全性群組內的ECS執行個體之間預設互連。這一點是Cloud Firewall主機邊界防火牆與ECS安全性群組最明顯的區別。
樣本:當前策略組sg-test下的存在ECS1和ECS2,ECS1的IP地址是10.33.XX.XX,ECS2的IP地址是10.66.XX.XX。需要實現ECS1和ECS2之間互訪。
在左側導覽列,選擇。
在主機邊界頁面,定位到目標策略組,單擊操作列的配置策略。
在入方向頁簽,單擊建立策略。
配置入方向的允許存取策略,關鍵配置項如下:
配置項
說明
樣本值
策略類型:
選擇策略類型。
允許
协议类型
從協議類型列表選擇訪問流量的協議類型。
TCP
埠範圍
輸入訪問流量使用的連接埠位址範圍。
0/0
源類型、源物件
選擇訪問流量的來源 。策略方向選擇入方向時需要設定。您可以選擇訪問源地址的類型,並根據源類型設定來源物件。
源類型:策略組
來源物件:sg-test
目的選擇
選擇訪問流量的目的地址。策略方向選擇入方向時需要設定。
位址區段訪問,IP位址區段設定為10.66.XX.XX
說明如果需要該策略組內的所有ECS執行個體實現互訪,目的選擇設定為全部ECS。
如果需要該策略組內的部分ECS執行個體實現互訪,目的選擇設定為位址區段訪問,並填寫對端ECS的IP位址區段。
如果您是企業安全性群組,那麼也需要配置出方向的允許存取策略。
普通安全性群組出方向預設是允許存取策略,無需您另外配置。
您可以參考入方向的策略進行配置,關鍵配置項如下:
源類型:IP
來源物件:10.66.XX.XX
IP位址區段:10.33.XX.XX
不同策略組中ECS執行個體之間互訪
樣本:ECS1和ECS2屬於不同的主機邊界防火牆策略組,ECS1的IP地址是10.33.XX.XX,ECS2的IP地址是10.66.XX.XX。需要實現ECS1和ECS2互訪。
在左側導覽列,選擇。
在主機邊界頁面,定位到ECS1所在的策略組,單擊操作列的配置策略。
在入方向頁簽,單擊建立策略。
配置入方向的允許存取策略,關鍵配置項如下:
配置項
說明
樣本值
策略類型
選擇策略類型。
允許
协议类型
從協議類型列表中選擇訪問流量的協議類型。
TCP
埠範圍
輸入訪問流量使用的連接埠位址範圍。
0/0
源類型、源物件
選擇訪問流量的來源 。策略方向選擇入方向時需要設定。您可以選擇訪問源地址的類型,並根據源類型設定來源物件。
源類型:IP
來源物件:10.66.XX.XX
目的選擇
選擇訪問流量的目的地址。策略方向選擇入方向時需要設定。
位址區段訪問,IP位址區段設定為10.33.XX.XX
說明如果需要sg-test2策略組內的ECS執行個體訪問sg-test1策略組所有ECS,目的選擇設定為全部ECS。
如果需要sg-test2策略組內的ECS執行個體訪問sg-test1策略組部分ECS,目的選擇設定為位址區段訪問,並填寫sg-test1策略組內ECS的IP位址區段。
如果您是企業安全性群組,那麼也需要配置出方向的允許存取策略。
普通安全性群組出方向預設是允許存取策略,無需您另外配置。
您可以參考入方向的策略進行配置,關鍵配置項如下:
源類型:IP
來源物件:10.33.XX.XX
IP位址區段:10.66.XX.XX
根據上述ECS1的策略配置,配置ECS2入方向和出方向的允許存取策略。