設定Cloud Firewall存取控制策略規則實現流量攔截 - Cloud Firewall

開啟防火牆後，若未配置存取控制策略，系統將預設允許所有流量通過。為了更好地管理對資產的未授權訪問，您可以根據需求設定特定的流量攔截或允許存取策略。本文介紹Cloud Firewall存取控制策略的工作原理及其計費方式。

功能概述

Cloud Firewall提供適用於互連網邊界、NAT邊界、VPC邊界和主機邊界的存取控制策略能力，您可以為不同的防火牆配置存取控制策略，攔截未授權的流量訪問，實現多方位流量的安全隔離管控。本文介紹的存取控制策略原理僅適用於互連網邊界、NAT邊界和VPC邊界存取控制策略。

說明

主機邊界存取控制策略的具體資訊，請參見配置主機邊界存取控制策略。

策略包含的元素

存取控制策略支援識別並匹配不同流量元素，實現對相關流量的允許存取或拒絕。

匹配項	說明	配置類型	不同策略支援的配置類型
訪問源	網路連接發起方	IP：對特定的單個IP位址區段發起的流量進行存取控制。 IP地址簿：對一系列IP位址區段發起的流量進行存取控制。地區：對特定地理地區發起的流量進行存取控制。	互連網邊界出向策略、NAT邊界出向策略、VPC邊界策略：支援IP和IP地址簿。互連網邊界入向策略：支援IP、IP地址簿和地區。
目的	網路連接接收方	支援IP、IP地址簿、網域名稱和地區。 IP：對特定的單個IP位址區段收到的流量進行存取控制。 IP地址簿：對一系列IP位址區段收到的流量進行存取控制。網域名稱：對網域名稱地址收到的流量進行存取控制。地區：對特定地理地區收到的流量進行存取控制。	互連網邊界出向策略、NAT邊界出向策略：支援IP、IP地址簿、網域名稱和地區類型。 VPC邊界策略：支援IP、IP地址簿和網域名稱類型。互連網邊界入向策略：支援IP和IP地址簿類型。
協議類型	傳輸層協議	支援TCP、UDP、ICMP和ANY。不確定具體協議類型時可選擇ANY。	所有策略：支援所有類型。
連接埠	目的連接埠	對訪問流量經過的連接埠進行存取控制，支援連接埠和連接埠地址簿。	ICMP協議不支援配置連接埠。 ANY協議若需要命中ICMP協議流量，連接埠需要包含0，例如0/80。
應用	應用程式層協議	支援HTTP、HTTPS、SMTP、SMTPS、SSL、FTP、IMAPS、POP3等多種協議。不確定具體應用類型時可選擇ANY。說明 Cloud Firewall會根據不同的連接埠來識別TLS和SSL流量的應用類型。 443：HTTPS 465：SMTPS 993：IMAPS 995：POPS 其他連接埠：SSL	取決於選擇的協議類型。

策略工作原理

如果您未配置任何存取控制策略，Cloud Firewall在存取控制策略匹配環節，預設允許存取所有流量。

配置存取控制策略後，Cloud Firewall會按照特定的邏輯將存取控制策略展開為一條或多條匹配規則，並下發到引擎。當流量經過Cloud Firewall時，Cloud Firewall按照策略的優先順序，依次匹配流量報文，如果流量報文命中某一條策略，則執行該策略動作，並結束策略匹配，否則將繼續匹配下一優先順序策略，直至命中策略或匹配完所有配置的策略。如果流量匹配完所有存取控制策略後還是沒有命中，預設允許存取該流量。

重要

建立、修改和刪除存取控制策略後，Cloud Firewall約需要3分鐘將策略下發到引擎。
存取控制策略的優先順序數值越小，優先順序越高。為了確保存取原則匹配最優，建議您將經常匹配和細化匹配的原則設定為高優先順序。

存取控制策略的工作原理如下圖所示。

策略執行動作

存取控制策略的動作支援設定為允許存取、觀察和拒絕。當流量包的報文元素與存取控制策略規則匹配成功時，Cloud Firewall執行該存取控制策略的動作。

策略的動作設定為觀察模式後，當策略匹配成功時仍會允許存取流量。您可以在觀察一段時間後，根據需要調整為允許存取或拒絕。

說明

您可以進入流量日誌頁面查看流量資料。具體操作，請參見日誌審計。

策略佔用規格

配置存取控制策略後，Cloud Firewall將按照訪問源、目的地址、協議類型、連接埠、應用配置項的對象數量，統計每條存取控制策略的實際佔用規格數。

計算方式

策略佔用規格數的計算公式如下：

單條策略佔用的規格數=源地址個數（IP位址區段個數或地區個數）*目的地址個數（IP位址區段個數或地區個數或網域名稱個數）*連接埠段個數*應用數
重要
互連網邊界防火牆、VPC邊界防火牆、NAT邊界防火牆均可配置目的類型為網域名稱的存取控制策略。當此類策略中使用了與DNS網域名稱解析相關（包括基於DNS動態解析、同時基於FQDN與DNS動態解析）的網域名稱識別模式時，在各個邊界防火牆的佔用規格數按照階梯計數。
當某個邊界防火牆中此類策略總規格數為0~200時，此類策略總佔用規格數計算為實際的總規格數；當此類策略總規格數為200以上，此類策略總佔用規格數計算為200+超出200的規格數*10。
例如，您在互連網邊界防火牆已經配置了一條目的網域名稱為aliyun.com的基於DNS動態解析的策略，該策略實際規格數為185，此時如果您還需要建立一條基於DNS動態解析的網域名稱策略，假設該策略的實際規格數為16，則您建立成功後這兩條策略在互連網邊界防火牆的總規格佔用數為200+（185+16-200）*10 = 210。
您可以在存取控制策略列表的占用规格数列，查看每條存取控制策略的實際佔用規格數。
存取控制策略的使用規格數=所有存取控制策略佔用的規格數之和（包含出向策略和入向策略）
您可以在存取控制策略的頁面上方，查看對應策略的使用規格。例如互連網邊界的使用規格統計資料如下所示：

計費說明

Cloud Firewall訂用帳戶版（進階版、企業版、旗艦版）的基礎價格預設提供一定數量的存取控制策略規格數。如果預設提供的存取控制策略授權規格數不滿足需求，您可以按需擴充。
擴充規格適用於互連網、NAT及VPC邊界防火牆，共用佔用。更多資訊，請參見訂用帳戶。
Cloud Firewall按量版最多支援建立互連網邊界存取控制策略2,000規格數、NAT邊界存取控制策略2,000規格數、VPC邊界存取控制策略10,000規格數，暫時不支援擴充。更多資訊，請參見隨用隨付。

策略佔用規格計算樣本

樣本

策略配置

單條策略佔用的規格數

樣本一

訪問源：19.16.XX.XX/32，17.6.XX.XX/32
目的地址：www.aliyun.com
協議類型：TCP
連接埠：80/88，443/443
應用：HTTP，HTTPS

訪問源：2個IP。

目的地址：1個網域名稱。

協議：TCP。

連接埠：2段。

應用：2種。

單條策略佔用規格數=2×1×2×2=8

樣本二

訪問源：北京市，浙江省
目的地址：19.18.XX.XX/32
協議類型：TCP
連接埠：80/80
應用：HTTP

訪問源：2個。

目的地址：1個IP。

協議：TCP。

連接埠：1段。

應用：1種。

單條策略佔用規格數=2*1*1*1=2

Cloud Firewall：存取控制策略概述