VPC邊界防火牆可用於檢測和控制通過雲企業網或者Express Connect串連的網路執行個體間的通訊流量,預設允許存取所有流量。您可以通過存取控制策略對執行個體間的流量進行管控,阻斷可疑流量或惡意流量,允許存取可信流量。本文介紹如何配置VPC邊界防火牆的存取控制策略。
前提條件
已建立並開啟VPC邊界防火牆。更多內容,請參見配置企業版轉寄路由器的VPC邊界防火牆。
已購買足夠的策略授權規格數。您可以在頁面,查看策略的使用規格。關於策略佔用規格的計算方法,請參見存取控制策略概述。
如果剩餘可用的策略授權規格不足,您可以單擊规格升级,購買存取控制全域擴充數量。更多操作,請參見購買Cloud Firewall服務。
配置VPC邊界存取控制策略
在對兩個VPC之間的流量進行管控時,可以對不可信或業務不需要的流量配置拒絕存取原則,再允許存取其他流量(黑名單模式);或者對可信或業務需要的流量配置允許存取存取原則,再拒絕其他流量(白名單模式)。關於VPC邊界存取控制策略的配置樣本,請參見存取控制策略配置樣本。
左側導覽列,選擇。
在VPC边界頁面,切換到你需要配置策略的業務執行個體。
單擊新增策略,參考以下表格,配置策略詳情,然後單擊確定。
配置項
說明
源類型
網路連接的發起方。您需要選擇訪問源類型,並根據訪問源類型輸入發送流量的訪問源地址。
選擇IP類型時,需要輸入IP位址區段。位址區段需要使用標準掩碼格式,例如192.168.0.0/16。最多支援輸入2000個位址區段,多個位址區段之間使用半形逗號(,)分隔。
如果您同時輸入了多個IP位址區段,Cloud Firewall會自動將輸入的多個位址區段建立為地址簿,並在您儲存策略配置時提示您設定地址簿名稱。
選擇地址簿類型時,您需要提前建立地址簿。建立地址簿的具體操作,請參見地址簿管理。
訪問源
目的類型
網路流量的接收方。您需要選擇目的類型,並根據目的類型輸入接收流量的目的地址。
選擇IP類型時,需要輸入IP位址區段。位址區段需要使用標準掩碼格式,例如192.168.0.0/16。最多支援輸入2000個位址區段,多個位址區段之間使用半形逗號(,)分隔。
如果您同時輸入了多個IP位址區段,Cloud Firewall會自動將輸入的多個位址區段建立為地址簿,並在您儲存策略配置時提示您設定地址簿名稱。
選擇地址簿類型時,可以選擇已建立地址簿(IPv4地址簿或網域名稱地址簿)。
如果您未建立地址簿,可以單擊建立地址簿,直接建立IPv4地址簿或網域名稱地址簿用於本次策略配置。關於地址簿的相關說明,請參見地址簿管理。
選擇網域名稱類型時,您需要選擇網域名稱的識別模式。目前提供三種網域名稱的識別模式:
基于FQDN(报文提取Host/SNI):管理HTTP、HTTPS、SMTP、SMTPS、SSL五種協議流量時,建議使用此模式。
基于DNS动态解析:管理HTTP、HTTPS、SMTP、SMTPS、SSL以外的流量時,建議使用此模式。
重要此模式不支援泛網域名稱。
同時基於FQDN與DNS動態解析:管理HTTP、HTTPS、SMTP、SMTPS、SSL五種協議流量,但部分或全部流量中未攜帶 HOST/SNI欄位時,建議使用此模式。
重要此模式僅在開啟ACL引擎管理strict 模式時生效。
目的
協議類型
傳輸層協議類型,支援設定為:TCP、UDP、ICMP、ANY。不確定具體協議時可選擇ANY。
連接埠類型
設定目的連接埠類型和目的連接埠。
選擇連接埠類型時,需要輸入連接埠段。連接埠段中間通過正斜線(/)分隔,例如22/22、80/88。最多可添加2000個連接埠段,多個連接埠段之間使用半形逗號(,)隔開。
如果您同時輸入了多個連接埠段,Cloud Firewall會自動將輸入的多個連接埠段建立為地址簿,並在您儲存策略配置時提示您設定地址簿名稱。
地址簿:選擇地址簿類型時,您需要提前建立連接埠地址簿。建立地址簿的具體操作,請參見地址簿管理。
連接埠
應用
設定訪問流量的應用類型。支援選擇多個應用類型。
協議類型選擇TCP時,應用類型支援選擇為HTTP、HTTPS、SMTP、SMTPS、SSL、FTP等。
協議類型選擇UDP、ICMP或ANY時,應用類型僅允許選擇為ANY。
目的類型選擇網域名稱地址簿或網域名稱時,應用類型僅允許選擇為HTTP、HTTPS、SMTP和SMTPS。
說明識別應用依賴應用報文特徵(協議識別不依據連接埠),應用識別失敗時,該會話流量會被允許存取。如果您想攔截未知應用類型的流量,建議您開啟互連網邊界防火牆strict 模式。更多資訊,請參見存取控制引擎模式介紹。
動作
設定匹配成功的流量在該條策略的允許存取情況。
允許存取:允許存取該流量。
拒絕:攔截該流量,並且不會提供任何形式的通知資訊。
觀察:該模式下,預設允許存取流量。觀察一段時間後,您可根據需要調整為允許存取或拒絕。
描述
輸入該策略的備忘內容,便於您後續查看時能快速區分每個策略的目的。
優先順序
選擇該策略的優先順序,預設為最後,表示優先順序最低。
最前:指存取控制策略生效的優先順序最高,最先生效。
最後:指存取控制策略生效的優先順序最低,最後生效。
策略有效期間
設定該策略的有效時間段。策略僅在有效時間段內才可用於匹配流量。
總是
單次時間段:選擇單次時間段。
週期:選擇重複的時間段和生效日期。
說明生效日期的開始時間應小於停止時間,預計策略生效延時3~5分鐘。
勾選無限重複,生效結束時間會自動化佈建為2099.12.31。
相關FAQ:配置策略有效期間時,如果週期跨天會生效嗎?
啟用狀態
設定是否啟用策略。如果您建立策略時未啟用策略,可以在策略列表中開啟策略。
查看策略的命中情況
業務運行一段時間後,您可以在存取控制策略列表的叫用次數/最近命中时间列,查看存取控制策略的命中情況。
單擊叫用次數可跳轉到流量日誌頁面,查看流量日誌。關於如何查看流量日誌,請參見日誌審計。
相關操作
建立策略後,您可以在存取控制策略列表,對該策略編輯、刪除、複製或移動(移動即修改策略的優先順序)。優先順序修改後,策略原優先順序之後的策略優先順序都將相應依次遞減。
存取控制策略的優先順序可設定為1~N,其中N為當前已配置的存取控制策略數量。數值越小,優先順序越高。優先順序修改後,策略原優先順序之後的策略優先順序都將相應依次遞減。
刪除策略後,該策略管控的流量將不受Cloud Firewall的存取控制。請謹慎刪除。
相關文檔
更多存取控制策略配置原則,請參見存取控制策略配置樣本。
存取控制策略的工作原理,請參見存取控制策略概述。
查看及管理存取控制策略中的IP地址簿、連接埠地址簿、網域名稱地址簿等,請參見地址簿管理。
更多關於存取控制策略的配置和使用問題,請參見存取控制策略常見問題。