配置資產和互連網之間的雙向流量的存取控制策略 - Cloud Firewall

開啟互連網邊界防火牆後，如果您未配置存取控制策略，Cloud Firewall在存取控制策略匹配環節中預設允許存取所有流量。您可以配置公網資產的出向（內部網路訪問外部互連網）策略和入向（外部互連網訪問內部網路）策略，避免公網資產和互連網之間的未授權訪問。本文介紹如何配置互連網邊界防火牆的存取控制策略。

前提條件

已開啟互連網邊界防火牆開關，並且已開啟公網資產保護。具體操作，請參見開啟互連網邊界防火牆。
Cloud Firewall支援防護的公網資產範圍，請參見防護範圍。
已購買足夠的策略授權規格數。您可以在防護配置 > 存取控制 > 互联网边界頁面，查看策略的使用規格。關於策略佔用規格的計算方法，請參見存取控制策略概述。
如果剩餘可用的策略授權規格不足，您可以單擊规格升级，購買存取控制全域擴充數量。更多操作，請參見購買Cloud Firewall服務。
如果您需要同時添加多個對象作為訪問源地址或目的地址，您可以先添加地址簿。具體操作，請參見地址簿管理。

配置互連網邊界存取控制策略

Cloud Firewall提供以下存取控制策略配置方式，您可以根據實際需要，配置策略。

自訂存取控制策略：您可以根據業務需求，自訂符合業務情境的策略。
下發智能推薦策略：Cloud Firewall自動學習您的業務近30日的流量情況，結合發現的流量風險，為您推薦適合您業務的存取控制策略，您可以根據需要選擇是否下發推薦的策略。
下發常用推薦策略：Cloud Firewall內建的推薦策略。如果常用的推薦策略符合您的業務需求，您可以直接下發對應的常用策略。

重要

對於已開放的公網IP，我們建議您在Cloud Firewall上允許存取已開放且有流量的連接埠，並拒絕所有到其他連接埠的訪問，從而減少資產在互連網的暴露面。
如果您需要配置允許存取可信源（包括IP、網域名稱等）、拒絕其他訪問源的策略。推薦配置：首先建立一個允許存取可信源的高優先順序策略；再建立一個拒絕所有訪問源的低優先順序策略。
未下發的智能推薦策略和常用推薦策略不會生效。

自訂存取控制策略

您可以按需自訂互連網邊界防火牆的出向策略（內網訪問外部互連網）和入向策略（外部互連網訪問您的內部網路）。

登入Cloud Firewall控制台。
在左側導覽列，選擇防護配置 > 存取控制 > 互联网边界。
在出向或者入向頁簽，選擇需要建立的IP類型（預設建立IPv4類型的策略），然後單擊新增策略。
在新增內-外策略或者新增外-內策略面板，單擊自定义创建。

參考以下表格，配置策略詳情，然後單擊確定。

配置內網訪問互連網的流量管控策略（出向策略）

配置項	說明
源類型	網路流量的發起方。您需要選擇訪問源類型，並根據類型輸入地址。選擇IP類型時，需要輸入IP位址區段。位址區段需要使用標準掩碼格式，例如192.168.0.0/16。最多支援輸入2000個位址區段，多個位址區段之間使用半形逗號（,）分隔。如果您同時輸入了多個IP位址區段，Cloud Firewall會自動將輸入的多個位址區段建立為地址簿，並在您儲存策略配置時提示您設定地址簿名稱。選擇地址簿類型時，您需要提前建立IP地址簿（IPv4或IPv6）。建立地址簿的具體操作，請參見地址簿管理。
訪問源
目的類型	網路流量的接收方。您需要選擇目的類型，並根據類型輸入地址。選擇IP類型時，需要輸入IP位址區段。位址區段需要使用標準掩碼格式，例如192.168.0.0/16。最多支援輸入2000個位址區段，多個位址區段之間使用半形逗號（,）分隔。如果您同時輸入了多個IP位址區段，Cloud Firewall會自動將輸入的多個位址區段建立為地址簿，並在您儲存策略配置時提示您設定地址簿名稱。選擇地址簿類型時，您需要提前建立IP地址簿（IPv4或IPv6）。建立地址簿的具體操作，請參見地址簿管理。選擇網域名稱類型時，您需要選擇網域名稱的識別模式。目前提供三種網域名稱的識別模式：基于FQDN（报文提取Host/SNI)：管理HTTP、HTTPS、SMTP、SMTPS、SSL、POPS、IMAPS七種協議流量時，建議使用此模式。基于DNS动态解析：管理HTTP、HTTPS、SMTP、SMTPS、SSL、POPS、IMAPS以外的流量時，建議使用此模式。重要此模式不支援泛網域名稱和泛網域名稱地址簿。同時基於FQDN與DNS動態解析：管理HTTP、HTTPS、SMTP、SMTPS、SSL、POPS、IMAPS七種協議流量，但部分或全部流量中未攜帶 HOST/SNI欄位時，建議使用此模式。重要此模式僅在開啟ACL引擎管理strict 模式時生效，且不支援泛網域名稱和泛網域名稱地址簿。選擇地區類型時，需要選擇目的地址所在的地區。可選中國地區或國際地區。
目的
協議類型	傳輸層協議類型，支援設定為：TCP、UDP、ICMP、ANY。不確定具體協議時可選擇ANY。
連接埠類型	設定目的連接埠類型和目的連接埠。選擇連接埠類型時，需要輸入連接埠段。連接埠段中間通過正斜線（/）分隔，例如22/22、80/88。最多可添加2000個連接埠段，多個連接埠段之間使用半形逗號（,）隔開。如果您同時輸入了多個連接埠段，Cloud Firewall會自動將輸入的多個連接埠段建立為地址簿，並在您儲存策略配置時提示您設定地址簿名稱。地址簿：選擇地址簿類型時，您需要提前建立連接埠地址簿。建立地址簿的具體操作，請參見地址簿管理。
連接埠
應用	設定訪問流量的應用類型。選擇不同的目的類型和協議類型，支援選擇的應用不同。協議類型選擇TCP時：目的類型選擇IP、IP地址簿或地區：您可以選擇全部應用。目的類型選擇網域名稱或網域名稱地址簿：網域名稱模式選擇基於FQDN（報文提取Host/SNI）時，您僅能選擇HTTP、HTTPS、SMTP、SMTPS、SSL、POPS和IMAPS等應用。網域名稱模式選擇基於DNS動態解析時，您可以選擇所有應用。網域名稱模式選擇同時基於FQDN（報文提取Host/SNI）與DNS動態解析時，您僅能選擇HTTP、HTTPS、SMTP、SMTPS、SSL、POPS和IMAPS等應用。協議類型選擇UDP時，應用類型支援選擇ANY和DNS。協議類型選擇ICMP或ANY時，應用類型僅允許選擇ANY。說明識別應用依賴應用報文特徵（協議識別不依據連接埠），應用識別失敗時，該會話流量會被允許存取。如果您想攔截未知應用類型的流量，建議您開啟互連網邊界防火牆strict 模式。更多資訊，請參見存取控制引擎模式介紹。
動作	設定匹配成功的流量在該條策略的允許存取情況。允許存取：允許存取該流量。拒絕：攔截該流量，並且不會提供任何形式的通知資訊。觀察：該模式下，預設允許存取流量。您可通過流量日誌的相關欄位篩選並觀察這部分流量，在觀察一段時間後，根據實際需求調整為允許存取或拒絕。
描述	輸入該策略的備忘內容，便於您後續查看時能快速區分每個策略的目的。
優先順序	選擇該策略的優先順序，預設為最後，表示優先順序最低。最前：指存取控制策略生效的優先順序最高，最先生效。最後：指存取控制策略生效的優先順序最低，最後生效。
策略有效期間	設定該策略的有效時間段。策略僅在有效時間段內才可用於匹配流量。總是單次時間段：選擇單次時間段。週期：選擇重複的時間段和生效日期。說明生效日期的開始時間應小於停止時間，預計策略生效延時3~5分鐘。勾選無限重複，生效結束時間會自動化佈建為2099.12.31。相關FAQ：配置策略有效期間時，如果週期跨天會生效嗎？
啟用狀態	設定是否啟用策略。如果您建立策略時未啟用策略，可以在策略列表中開啟策略。

配置互連網訪問內網的流量管控策略（入向策略）

配置項	說明
源類型	網路流量的發起方。您需要選擇訪問源類型，並根據類型輸入地址。選擇IP類型時，需要輸入IP位址區段。位址區段需要使用標準掩碼格式，例如192.168.0.0/16。最多支援輸入2000個位址區段，多個位址區段之間使用半形逗號（,）分隔。如果您同時輸入了多個IP位址區段，Cloud Firewall會自動將輸入的多個位址區段建立為地址簿，並在您儲存策略配置時提示您設定地址簿名稱。選擇地址簿類型時，您需要提前建立地址簿。建立地址簿的具體操作，請參見地址簿管理。選擇地區類型時，需要選擇源地址所在的地區。可選中國地區或國際地區。
訪問源
目的類型	網路流量的接收方。您需要選擇目的類型，並根據類型輸入地址。選擇IP類型時，需要輸入IP位址區段。位址區段需要使用標準掩碼格式，例如192.168.0.0/16。最多支援輸入2000個位址區段，多個位址區段之間使用半形逗號（,）分隔。如果您同時輸入了多個IP位址區段，Cloud Firewall會自動將輸入的多個位址區段建立為地址簿，並在您儲存策略配置時提示您設定地址簿名稱。選擇地址簿類型時，您需要提前建立IP地址簿。建立地址簿的具體操作，請參見地址簿管理。
目的
協議類型	傳輸層協議類型，支援設定為：TCP、UDP、ICMP、ANY。不確定具體協議時可選擇ANY。
連接埠類型	設定目的連接埠類型和目的連接埠。選擇連接埠類型時，需要輸入連接埠段。連接埠段中間通過正斜線（/）分隔，例如22/22、80/88。最多可添加2000個連接埠段，多個連接埠段之間使用半形逗號（,）隔開。如果您同時輸入了多個連接埠段，Cloud Firewall會自動將輸入的多個連接埠段建立為地址簿，並在您儲存策略配置時提示您設定地址簿名稱。地址簿：選擇地址簿類型時，您需要提前建立連接埠地址簿。建立地址簿的具體操作，請參見地址簿管理。
連接埠
應用	設定該訪問流量的應用類型。協議類型選擇TCP時，應用類型支援選擇HTTP、HTTPS、SMTP、SMTPS、SSL、FTP等全部應用。協議類型選擇UDP時，應用類型支援選擇ANY和DNS。協議類型選擇ICMP或ANY時，應用類型僅允許選擇ANY。說明識別應用依賴應用報文特徵（協議識別不依據連接埠），應用識別失敗時，該會話流量會被允許存取。如果您想攔截未知應用類型的流量，建議您開啟互連網邊界防火牆strict 模式。更多資訊，請參見存取控制引擎模式介紹。
動作	設定匹配成功的流量在該條策略的允許存取情況。允許存取：允許存取該流量。拒絕：攔截該流量，並且不會提供任何形式的通知資訊。觀察：該模式下，預設允許存取流量。您可通過流量日誌的相關欄位篩選並觀察這部分流量，在觀察一段時間後，根據實際需求調整為允許存取或拒絕。
描述	輸入該策略的備忘內容，便於您後續查看時能快速區分每個策略的目的。
優先順序	選擇該策略的優先順序，預設為最後，表示優先順序最低。最前：指存取控制策略生效的優先順序最高，最先生效。最後：指存取控制策略生效的優先順序最低，最後生效。
策略有效期間	設定該策略的有效時間段。策略僅在有效時間段內才可用於匹配流量。總是單次時間段：選擇單次時間段。週期：選擇重複的時間段和生效日期。說明生效日期的開始時間應小於停止時間，預計策略生效延時3~5分鐘。勾選無限重複，生效結束時間會自動化佈建為2099.12.31。相關FAQ：配置策略有效期間時，如果週期跨天會生效嗎？
啟用狀態	設定是否啟用策略。如果您建立策略時未啟用策略，可以在策略列表中開啟策略。

下發智能推薦策略

Cloud Firewall自動學習您的業務近30日的流量情況，結合發現的流量風險，為您推薦適合您業務的存取控制策略。如果智能推薦策略符合您的業務需求，您可以直接下發智能推薦策略。

支援下發出向（內網訪問外部互連網）和入向（外部互連網訪問您的內部網路）的智能策略。

警告

下發策略操作涉及一定風險，請確保您已完整知悉即將下發的策略內容，再執行下發操作。
推薦的智能策略支援忽略，忽略後該策略將無法找回，請謹慎操作。

查看是否有智能推薦策略

您可以在互联网边界頁面，查看是否有Cloud Firewall產生的智能策略。

在左側導覽列，選擇防護配置 > 存取控制 > 互联网边界。
通過以下方式，進入智能策略推薦頁面。
- 在策略列表右上方，單擊智能策略，然後單擊出向頁簽或入向頁簽。
- 在出向頁簽或入向頁簽，單擊新增策略，然後單擊智能策略推薦頁簽。
查看智能推薦策略，在需要下發的策略地區單擊下發策略；或者批量選中需要下發的多個策略後，單擊批量下发。