配置存取控制策略配置不當,可能導致流量被誤允許存取或誤攔截,從而引發資料泄露、公網暴露、業務訪問中斷等一系列風險。為此,在制定存取控制策略時,您需要仔細評估具體業務需求,精心設計策略以確保流量管理的準確性。深入理解存取控制策略的工作原理能夠為您搭建健壯的安全防護網路提供有效指導。
背景資訊
如果您未配置任何存取控制策略,Cloud Firewall在存取控制策略匹配環節,預設允許存取所有流量。配置存取控制策略後,Cloud Firewall可以對流量進行篩查,僅當符合要求的流量才可被允許存取。
術語解釋
為了協助您更好地理解存取控制策略的工作原理,本文定義了一些關鍵術語。下表提供了本文涉及的關鍵術語的解釋,以便您在閱讀時能夠快速尋找和理解相關概念。
名稱 | 解釋 |
匹配項 | Cloud Firewall存取控制策略包含多個元素,包括訪問類型、訪問源、目的類型等。其中,Cloud Firewall僅將流量的源地址、目的地址、目的連接埠、傳輸協議、應用程式層協議和網域名稱作為匹配項,與經過Cloud Firewall的流量報文進行一一匹配。 |
目的類型 | Cloud Firewall存取控制策略的目的地址的類型,支援IP、地址簿、網域名稱等不同類型。 說明 不同防火牆支援配置的目的類型不同,請以控制台頁面顯示為準。 |
四元組 | 本文中,四元組指源IP地址、目的IP地址、目的連接埠和傳輸協議。 |
應用 | 應用程式層協議,Cloud Firewall支援識別HTTP、HTTPS、SMTP、SMTPS、SSL、FTP等多種類型。配置策略時最多支援同時選擇5種類型。 應用類型設定為ANY時,表示任意協議。 說明 Cloud Firewall將SSL和TLS應用的443連接埠流量識別為HTTPS類型,將SSL和TLS應用的其他連接埠流量識別為SSL類型。 |
展開邏輯 | 配置存取控制策略時,您可以對不同的匹配項設定多個管控對象。每個匹配項的具體值都可以成為一個獨立的管控對象,例如,您可以將IP位址區段192.0.2.0/24、連接埠號碼段80/88、連接埠號碼22/22等作為管控對象。 策略配置完成後,Cloud Firewall將基於一定的邏輯將策略細化為一條或多條匹配規則,並將匹配規則下發到Cloud Firewall處理引擎。匹配規則的每個匹配項僅包含一個管控對象。 |
匹配邏輯 | 指Cloud Firewall根據展開後的匹配規則來判斷網路流量是否滿足允許存取條件,並根據匹配結果執行相應的策略動作的過程。 |
如果存取控制策略的目的配置的是網域名稱或者網域名稱地址簿,您還需要瞭解如下兩種網域名稱識別模式:
基於FQDN(報文提取Host/SNI):應用類型為HTTP、HTTPS、SMTP、SMTPS、SSL時,Cloud Firewall優先通過Host或SNI欄位來實現網域名稱的存取控制。
基於DNS動態解析:應用類型為HTTP、HTTPS、SSL、SMTP、SMTPS以外的其他類型時,Cloud Firewall對網域名稱進行DNS動態解析,Cloud Firewall支援對解析出的IP地址進行存取控制。一個網域名稱最多解析500個IP。
工作流程
存取控制策略工作流程如下:
建立存取控制策略後,Cloud Firewall會按照特定的邏輯將存取控制策略展開為一條或多條匹配規則,並下發到引擎。詳細介紹,請參見一、存取控制策略展開邏輯。
當流量經過Cloud Firewall時,Cloud Firewall按照策略的優先順序,依次匹配流量報文,根據匹配結果允許存取或攔截流量包。詳細介紹,請參見二、存取控制策略匹配邏輯。
如果流量報文命中某一條策略,Cloud Firewall將執行該策略動作,並結束策略匹配;否則將繼續匹配下一優先順序策略,直至命中策略或匹配完所有配置的策略。如果流量匹配完所有存取控制策略後還是沒有命中,預設允許存取該流量。
一、存取控制策略展開邏輯
建立存取控制策略後,Cloud Firewall會按照特定的邏輯將存取控制策略展開為一條或多條匹配規則,並下發到引擎。互連網邊界防火牆、NAT邊界防火牆和VPC邊界防火牆支援根據流量中攜帶的網域名稱資訊進行網域名稱管控。根據云防火牆是否會對網域名稱進行DNS解析,不同防火牆的展開邏輯不同。
建立、修改和刪除存取控制策略後,Cloud Firewall約需要3分鐘將匹配規則下發到引擎。
存取控制策略拆分為多條匹配規則後,當流量匹配到該條存取控制策略時,會依次匹配對應的匹配規則。流量命中存取控制策略的任意一條匹配規則時,即命中該存取控制策略。
關於網域名稱解析的更多內容,請參見網域名稱解析介紹。
互連網邊界
配置互連網邊界存取控制策略後,Cloud Firewall會判斷存取控制策略的目的類型和應用,按照不同的目的類型和應用展開策略。互連網邊界存取控制策略的展開和匹配邏輯如下圖所示。
策略目的類型為IP或IP地址簿
當策略的目的類型配置為IP或IP地址簿時,Cloud Firewall將根據配置的對象個數展開訪問源、目的地址、協議類型、連接埠和應用。
當流量匹配到該條策略時,Cloud Firewall按照四元組和應用順序進行匹配。詳細介紹,請參見按四元組和應用順序匹配。
策略目的類型為網域名稱
當策略的目的類型配置為網域名稱時,Cloud Firewall會判斷策略的應用類型,根據不同的應用類型展開策略並下發到引擎。
應用為HTTP、HTTPS、SMTP、SMTPS、SSL中的一種或多種類型時,網域名稱識別基於FQDN(報文提取Host/SNI)模式。Cloud Firewall不解析網域名稱IP,將匹配規則的目的地址置為0.0.0.0/0,同時將網域名稱、訪問源、協議類型、連接埠和應用按照配置的對象個數進行展開。
當流量匹配到該條策略時,Cloud Firewall按照四元組、應用和網域名稱順序進行匹配。詳細介紹,請參見按四元組、應用和網域名稱順序匹配。
應用為除HTTP、HTTPS、SMTP、SMTPS、SSL、ANY外的其他類型時,網域名稱識別基於DNS動態解析模式。Cloud Firewall解析網域名稱IP,將匹配規則的目的地址匹配項置為解析後的IP地址,同時將訪問源、目的地址、協議類型、連接埠和應用按照配置的對象個數進行展開。
當流量匹配到該條策略時,Cloud Firewall按照四元組、應用順序進行匹配。詳細介紹,請參見按四元組和應用順序匹配。
應用為ANY,或者同時包含HTTP、HTTPS、SMTP、SMTPS、SSL中的任意類型以及其他類型(例如應用設定為HTTP、MySQL)時,Cloud Firewall將該策略按照如下匹配順序進行匹配:
當策略的應用為HTTP、HTTPS、SMTP、SMTPS、SSL,網域名稱識別基於FQDN(報文提取Host/SNI)模式。Cloud Firewall不解析網域名稱IP,將匹配規則的目的地址置為0.0.0.0/0,同時將網域名稱、訪問源、協議類型、連接埠和應用按照配置的對象個數進行展開。
當流量匹配到該條策略時,Cloud Firewall按照四元組、應用和網域名稱順序進行匹配。詳細介紹,請參見按四元組、應用和網域名稱順序匹配。
當策略的應用為ANY,網域名稱識別基於DNS動態解析模式。Cloud Firewall解析網域名稱IP,將匹配規則的目的地址置為解析後的IP地址,同時將訪問源、目的地址、協議類型、連接埠和應用按照配置的對象個數進行展開。
當流量匹配到該條策略時,Cloud Firewall按照四元組、應用順序進行匹配。詳細介紹,請參見按四元組和應用順序匹配。
策略目的類型為網域名稱地址簿
當策略的目的類型配置為網域名稱地址簿(即目的地址為多個網域名稱)時,網域名稱識別僅基於FQDN(報文提取Host/SNI)模式。應用僅支援配置為HTTP、HTTPS、SMTP、SMTPS、SSL。此時,Cloud Firewall不解析網域名稱IP,將匹配規則的目的地址置為0.0.0.0/0,同時將網域名稱、訪問源、協議類型、連接埠和應用按照配置的對象個數進行展開。
當流量匹配到該條策略時,Cloud Firewall按照四元組、應用和網域名稱順序進行匹配。詳細介紹,請參見按四元組、應用和網域名稱順序匹配。
NAT邊界
配置NAT邊界存取控制策略時,如果配置了網域名稱存取控制策略,您可以手動設定網域名稱識別模式,Cloud Firewall會根據您設定的網域名稱識別模式,判斷是否對網域名稱進行DNS解析。NAT邊界存取控制策略的展開和匹配邏輯如下圖所示。
策略目的類型為IP或IP地址簿
策略的目的類型配置為IP或IP地址簿時,Cloud Firewall將根據配置的對象個數展開訪問源、目的地址、協議類型、連接埠和應用。
當流量匹配到該條策略時,Cloud Firewall按照四元組和應用順序進行匹配。詳細介紹,請參見按四元組和應用順序匹配。
策略目的類型為網域名稱
策略的目的類型配置為網域名稱時,Cloud Firewall根據不同的網域名稱識別模式展開策略。
網域名稱識別模式為基於FQDN(報文提取Host/SNI),此時應用僅支援設定為HTTP、HTTPS、SMTP、SMTPS、SSL中的一種或多種類型。該模式下,Cloud Firewall不解析網域名稱IP,將匹配規則的目的地址置為0.0.0.0/0,同時將網域名稱、訪問源、協議類型、連接埠和應用按照配置項對象個數進行展開。
當流量匹配到該條策略時,Cloud Firewall按照四元組、應用和網域名稱順序進行匹配。詳細介紹,請參見按四元組、應用和網域名稱順序匹配。
網域名稱識別模式為基於DNS動態解析,Cloud Firewall根據不同的應用類型展開策略:
應用設定為HTTP、HTTPS、SMTP、SMTPS、SSL中的一種或多種類型時,Cloud Firewall不解析網域名稱IP,將匹配規則的目的地址置為0.0.0.0/0,同時將網域名稱、訪問源、協議類型、連接埠和應用按照配置的對象個數進行展開。
當流量匹配到該條匹配規則時,Cloud Firewall按四元組、應用和網域名稱順序進行匹配。詳細介紹,請參見按四元組、應用和網域名稱順序匹配。
應用設定為HTTP、HTTPS、SMTP、SMTPS、SSL外的其他特定類型時,Cloud Firewall解析網域名稱IP,將匹配規則的目的地址置為解析後的IP地址,同時將訪問源、目的地址、協議類型、連接埠和應用按照配置的對象個數進行展開。
當流量匹配到該條匹配規則時,Cloud Firewall按四元組和應用順序進行匹配。詳細介紹,請參見按四元組和應用順序匹配。
應用設定為ANY,或者同時包含HTTP、HTTPS、SMTP、SMTPS、SSL中的任意類型以及其他類型(例如應用設定為HTTP、MySQL)時,Cloud Firewall按照上述兩種情況,展開為兩類匹配規則。
當流量匹配到該條策略時,Cloud Firewall根據匹配規則分類,分別按四元組、應用和網域名稱以及四元組和應用的順序進行匹配。詳細介紹,請分別參見按四元組和應用順序匹配、按四元組、應用和網域名稱順序匹配。
網域名稱識別模式為同時基於FQDN和DNS動態解析,此時應用僅支援設定為HTTP、HTTPS、SMTP、SMTPS、SSL和ANY。該模式下,Cloud Firewall根據不同的應用類型展開策略:
應用設定為HTTP、HTTPS、SMTP、SMTPS、SSL中的一種或多種類型時,Cloud Firewall不解析網域名稱IP,將匹配規則的目的地址置為0.0.0.0/0,同時將網域名稱、訪問源、協議類型、連接埠和應用按照配置的對象個數進行展開。
應用設定為ANY時,Cloud Firewall將該策略展開為兩類匹配規則:
匹配規則的應用為HTTP、HTTPS、SMTP、SMTPS、SSL,Cloud Firewall不解析網域名稱IP,將匹配規則的目的地址置為0.0.0.0/0,同時將網域名稱、訪問源、協議類型、連接埠和應用按照配置的對象個數進行展開。
當流量匹配到該條匹配規則時,Cloud Firewall按四元組、應用和網域名稱順序進行匹配。詳細介紹,請參見按四元組、應用和網域名稱順序匹配。
匹配規則的應用為ANY,Cloud Firewall解析網域名稱IP,將匹配規則的目的地址置為解析後的IP地址,同時將訪問源、目的地址、協議類型、連接埠和應用按照配置的對象個數進行展開。
當流量匹配到該條匹配規則時,Cloud Firewall按四元組和應用順序進行匹配。詳細介紹,請參見按四元組和應用順序匹配。
策略目的類型為網域名稱地址簿
策略的目的類型配置為網域名稱地址簿(即目的地址為多個網域名稱)時,網域名稱識別模式僅支援配置為基於FQDN(報文提取Host/SNI),並且應用僅支援HTTP、HTTPS、SMTP、SMTPS、SSL。此時,Cloud Firewall不解析網域名稱IP,將匹配規則的目的地址置為0.0.0.0/0,同時將網域名稱、訪問源、協議類型、連接埠和應用按照配置的對象個數進行展開。
當流量匹配到該條策略時,Cloud Firewall按照四元組、應用和網域名稱順序進行匹配。詳細介紹,請參見按四元組、應用和網域名稱順序匹配。
VPC邊界
Cloud Firewall的VPC邊界存取控制策略不支援對網域名稱進行DNS解析。配置VPC邊界存取控制策略後,Cloud Firewall主要判斷策略的目的類型,然後根據不同的目的類型展開策略。VPC邊界存取控制策略的展開和匹配邏輯如下圖所示。
策略目的類型為IP或IP地址簿
策略的目的類型配置為IP或IP地址簿時,Cloud Firewall將根據配置的對象個數展開訪問源、目的地址、協議類型、連接埠和應用。
當流量匹配到該條策略時,Cloud Firewall按照四元組和應用順序進行匹配。詳細介紹,請參見按四元組和應用順序匹配。
策略目的類型為網域名稱或網域名稱地址簿
策略的目的類型配置為網域名稱或網域名稱地址簿時,應用僅支援設定為HTTP、HTTPS、SMTP、SMTPS、SSL中的一種或多種類型。該模式下,Cloud Firewall不解析網域名稱IP,將匹配規則的目的地址置為0.0.0.0/0,同時將網域名稱、訪問源、協議類型、連接埠和應用按照配置項對象個數進行展開。
當流量匹配到該條策略時,Cloud Firewall按照四元組、應用和網域名稱順序進行匹配。詳細介紹,請參見按四元組、應用和網域名稱順序匹配。
二、存取控制策略匹配邏輯
當流量經過Cloud Firewall時,Cloud Firewall會根據存取控制策略、威脅情報規則、基礎防禦規則、智能防禦規則、虛擬補丁規則對流量報文進行匹配,然後根據匹配結果執行相應的規則動作。以下為您介紹Cloud Firewall在存取控制策略匹配階段的邏輯。如果需要瞭解不同階段的匹配順序,請參見流量分析常見問題。
在存取控制策略匹配階段,Cloud Firewall的流量匹配分為兩類:按四元組和應用順序匹配、按四元組、應用和網域名稱順序匹配。
按四元組和應用順序匹配
該模式下,當流量經過Cloud Firewall時,Cloud Firewall會依次匹配存取控制策略和流量報文的四元組(源IP地址、目的IP地址、目的連接埠、傳輸層協議)和應用。只有當流量同時命中存取控制策略的四元組和應用,才算命中該存取控制策略。
以下情況下,Cloud Firewall會按四元組和應用順序匹配流量:
存取控制策略的目的類型為IP或IP地址簿。
存取控制策略的目的類型為網域名稱,並且應用為ANY和5種協議(HTTP、HTTPS、SMTP、SMTPS、SSL)之外的其他類型。
存取控制策略的目的類型為網域名稱,應用為ANY,並且展開後的匹配規則的應用為非5種協議。
按四元組和應用順序匹配的流程如下:
當流量經過Cloud Firewall時,Cloud Firewall匹配存取控制策略和流量的四元組。
Cloud Firewall匹配存取控制策略和流量的應用。
Cloud Firewall識別出流量應用,並且流量應用命中存取控制策略的應用,Cloud Firewall執行該條存取控制策略動作(允許存取或拒絕)。
Cloud Firewall識別出流量應用,但流量應用未命中存取控制策略的應用,Cloud Firewall判斷是否存在下一條存取控制策略。
如果存在,則繼續匹配下一優先順序存取控制策略和流量的四元組,直到命中某一條存取控制策略的四元組和應用。
如果匹配完所有存取控制策略後仍沒有命中,則結束存取控制策略匹配階段。
如果不存在,則結束存取控制策略匹配階段。
Cloud Firewall無法識別流量應用,此時Cloud Firewall會判斷當前的識別模式是strict 模式或寬鬆模式。
寬鬆模式下,為了不影響業務,Cloud Firewall預設允許存取該流量。
strict 模式下,Cloud Firewall不會直接允許存取該流量包,而是繼續匹配下一優先順序存取控制策略,直到命中某一條存取控制策略,然後執行命中策略的動作(允許存取或拒絕)。
如果匹配完所有存取控制策略後仍沒有命中,則Cloud Firewall預設允許存取該流量。
按四元組、應用和網域名稱順序匹配
該模式下,當流量經過Cloud Firewall時,Cloud Firewall會依次匹配存取控制策略和流量報文的四元組(源IP地址、目的IP地址、目的連接埠、傳輸層協議)和應用。只有當流量同時命中存取控制策略的四元組和應用,才算命中該存取控制策略。
以下情況下,Cloud Firewall會按四元組、應用和網域名稱的順序匹配流量:
存取控制策略的目的類型為網域名稱,並且應用為5種協議(HTTP、HTTPS、SMTP、SMTPS、SSL)。
存取控制策略的目的類型為網域名稱,應用為ANY,並且展開後的匹配規則的應用為5種協議(HTTP、HTTPS、SMTP、SMTPS、SSL)。
存取控制策略的目的類型為網域名稱地址簿。
按四元組、應用和網域名稱順序匹配的流程如下:
當流量經過Cloud Firewall時,Cloud Firewall匹配存取控制策略和流量的四元組。
Cloud Firewall匹配存取控制策略和流量的應用。
Cloud Firewall識別出流量應用,並且流量命中存取控制策略的應用,Cloud Firewall繼續匹配存取控制策略和流量的網域名稱,跳轉至步驟3。
Cloud Firewall識別出流量應用,但流量未命中存取控制策略的應用,Cloud Firewall判斷是否存在下一條存取控制策略。
如果存在,則繼續匹配下一優先順序存取控制策略和流量的四元組,直到命中某一條存取控制策略的四元組和應用,然後繼續往下匹配該存取控制策略和流量的網域名稱,跳轉至步驟3。
如果匹配完所有存取控制策略後仍沒有命中,則結束存取控制策略匹配階段。
如果不存在,則結束存取控制策略匹配階段。
Cloud Firewall無法識別流量應用,此時Cloud Firewall會判斷當前的識別模式是strict 模式或寬鬆模式。
寬鬆模式下,為了不影響業務,Cloud Firewall預設允許存取該流量。
strict 模式下,Cloud Firewall不會直接允許存取該流量包,而是繼續匹配下一優先順序存取控制策略,直到命中某一條存取控制策略,然後執行命中策略的動作(允許存取或拒絕)。
如果匹配完所有存取控制策略後仍沒有命中,則Cloud Firewall預設允許存取該流量。
Cloud Firewall匹配存取控制策略和流量的網域名稱。
Cloud Firewall識別出流量網域名稱,並且流量網域名稱命中存取控制策略的網域名稱,Cloud Firewall執行該條存取控制策略動作(允許存取或拒絕)。
Cloud Firewall識別出流量網域名稱,但流量網域名稱未命中存取控制策略的網域名稱,Cloud Firewall判斷是否存在下一條存取控制策略。
如果存在,則繼續匹配下一優先順序存取控制策略和流量的四元組。
如果不存在,則結束存取控制策略匹配階段。
Cloud Firewall無法識別流量網域名稱,此時Cloud Firewall會判斷當前的識別模式是strict 模式或寬鬆模式。
寬鬆模式下,為了不影響業務,Cloud Firewall預設允許存取該流量。
strict 模式下,Cloud Firewall不會直接允許存取該流量包,而是繼續匹配下一優先順序存取控制策略,直到命中某一條存取控制策略,然後執行命中策略的動作(允許存取或拒絕)。
如果匹配完所有存取控制策略後仍沒有命中,則Cloud Firewall預設允許存取該流量。
配置樣本
以下以互連網邊界的存取控制策略為例,為您介紹不同情境下的策略匹配情況,以便您更好地瞭解存取控制策略的工作原理。
情境一:存取控制策略目的類型為IP地址
您在Cloud Firewall控制台建立了兩條存取控制策略。
存取控制策略A
存取控制策略B
訪問源:192.0.2.0/24
目的:198.51.100.0/24
協議類型:TCP
連接埠:80/88
應用:HTTP
動作:允許存取
優先順序:1
訪問源:0.0.0.0/0
目的:0.0.0.0/0
協議類型:ANY
連接埠:0/0
應用:ANY
動作:拒絕
優先順序:2
Cloud Firewall根據展開邏輯,將存取控制策略展開為多條匹配規則並下發到引擎。
當流量經過Cloud Firewall時,Cloud Firewall按照策略優先順序順序依次匹配流量。
樣本
流量報文
匹配結果
樣本一
(匹配一致)
訪問源:192.0.2.1
目的:198.51.100.1
協議:TCP
連接埠:80
應用:HTTP
匹配策略A的四元組。→命中
匹配策略A的應用。→命中
執行策略A的動作:允許存取流量包
樣本二
(源IP未匹配)
訪問源:203.0.113.1
目的:198.51.100.1
協議:TCP
連接埠:80
應用:HTTP
匹配策略A的四元組。→未命中
匹配策略B的四元組。→命中
執行策略B的動作:拒絕流量包
樣本三
(應用未識別)
訪問源:192.0.2.4
目的:198.51.100.1
協議:TCP
連接埠:80
應用:Unknown
匹配策略A的四元組。→命中
匹配策略A的應用。→無法識別流量應用
判斷當前模式。
寬鬆模式下:預設允許存取流量
strict 模式下:繼續匹配策略B
匹配策略B的四元組。→命中
執行策略B動作:拒絕流量包
情境二:存取控制策略目的類型為網域名稱
您在Cloud Firewall控制台建立了多條存取控制策略。
存取控制策略A
存取控制策略B
存取控制策略C
存取控制策略D
訪問源:192.0.2.0/24
目的:www.aliyun.com
協議類型:TCP
連接埠:0/0
應用:HTTP, HTTPS
動作:允許存取
優先順序:1
說明該策略目的網域名稱以Host或者SNI欄位匹配。
訪問源:198.51.100.0/24
目的:www.aliyun.com
協議類型:TCP
連接埠:0/0
應用:SSH
動作:允許存取
優先順序:2
說明該策略目的網域名稱以DNS解析的IP匹配。
訪問源:203.0.113.0/24
目的:www.aliyun.com
協議類型:TCP
連接埠:0/0
應用:SMTP
動作:允許存取
優先順序:3
訪問源:0.0.0.0/0
目的:0.0.0.0/0
協議類型:ANY
連接埠:0/0
應用:ANY
動作:拒絕
優先順序:4
Cloud Firewall根據展開邏輯,將存取控制策略展開為多條匹配規則並下發到引擎。
防護資產的流量經過Cloud Firewall時,Cloud Firewall按照策略優先順序順序依次匹配流量。
說明假設www.aliyun.com解析後的IP為106.XX.XX.5。
樣本
流量報文
匹配結果
樣本一
訪問源:192.0.2.1
目的:106.XX.XX.5
協議類型:TCP
連接埠:80
應用:HTTP
網域名稱:www.aliyun.com
匹配策略A的四元組。→命中
匹配策略A的應用。→命中
匹配策略A的網域名稱。→命中
執行策略A的動作:允許存取流量包
樣本二
訪問源:203.0.113.3
目的:106.XX.XX.5
協議類型:TCP
連接埠:443
應用:HTTPS
網域名稱:www.aliyun.com
匹配策略A的四元組。→未命中
匹配策略B的四元組。→未命中
匹配策略C的四元組。→命中
匹配策略C的應用。→未命中
匹配策略D的四元組。→命中
執行策略D的動作:拒絕流量包
樣本三
訪問源:198.51.100.1
目的:106.XX.XX.5
協議類型:ANY
連接埠:22
應用:SSH
網域名稱:www.aliyun.com
匹配策略A的四元組。→未命中
匹配策略B的四元組。→命中
匹配策略B的應用。→命中
執行策略B的動作:允許存取流量包
樣本四
訪問源:192.0.2.2
目的:106.XX.XX.5
協議:TCP
連接埠:80
應用:Unknown
匹配策略A的四元組。→命中
匹配策略A的應用。→無法識別流量應用
判斷當前模式。
寬鬆模式下:預設允許存取流量
strict 模式下:繼續匹配策略B
匹配策略B的四元組。→未命中
匹配策略C的四元組。→未命中
匹配策略D的四元組。→命中
執行策略D動作:拒絕流量包
樣本五
訪問源:192.0.2.3
目的:106.XX.XX.5
協議:TCP
連接埠:80
應用:HTTP
網域名稱:Unknown
匹配策略A的四元組。→命中
匹配策略A的應用。→命中
匹配策略A的網域名稱。→無法識別流量網域名稱
判斷當前模式。
寬鬆模式下:預設允許存取流量
strict 模式下:繼續匹配策略B
匹配策略B的四元組。→未命中
匹配策略C的四元組。→未命中
匹配策略D的四元組。→命中
執行策略D動作:拒絕流量包
情境三:存取控制策略目的類型為網域名稱地址簿
您在Cloud Firewall控制台建立了兩條存取控制策略。
存取控制策略A
存取控制策略B
訪問源:192.0.2.0/24
目的:www.aliyun.com, www.example.com
協議類型:TCP
連接埠:0/0
應用:HTTP、HTTPS
動作:允許存取
優先順序:1
訪問源:0.0.0.0/0
目的:0.0.0.0/0
協議類型:ANY
連接埠:0/0
應用:ANY
動作:拒絕
優先順序:2
Cloud Firewall分析您建立好的存取控制策略,並將存取控制策略A拆分為多條匹配規則。
當流量經過Cloud Firewall時,Cloud Firewall按照策略優先順序順序依次匹配流量。
說明假設www.aliyun.com解析後的IP為106.XX.XX.5,www.example.com解析後的IP為107.XX.XX.7。
樣本
流量報文
匹配結果
樣本一
訪問源:192.0.2.1
目的:106.XX.XX.5
協議類型:TCP
連接埠:80
應用:HTTP
網域名稱:www.aliyun.com
匹配策略A的四元組。→命中
匹配策略A的應用。→命中
匹配策略A的網域名稱。→命中
執行策略A的動作:允許存取流量包
樣本二
訪問源:192.0.2.2
目的:107.XX.XX.7
協議類型:TCP
連接埠:22
應用:SSH
網域名稱:www.example.com
匹配策略A的四元組。→命中
匹配策略A的應用。→未命中
匹配策略B的四元組。→命中
執行策略B的動作:拒絕流量包
樣本三
訪問源:192.0.2.3
目的:107.XX.XX.7
協議類型:TCP
連接埠:22
應用:Unknown
網域名稱:www.example.com
匹配策略A的四元組。→命中
匹配策略A的應用。→無法識別流量應用
判斷當前模式。
寬鬆模式下:預設允許存取流量
strict 模式下:繼續匹配策略B
匹配策略B的四元組。→命中
執行策略B動作:拒絕流量包
樣本四
訪問源:192.0.2.4
目的:106.XX.XX.5
協議類型:TCP
連接埠:80
應用:HTTP
網域名稱:Unknown
匹配策略A的四元組。→命中
匹配策略A的應用。→命中
匹配策略A的網域名稱。→無法識別流量網域名稱
判斷當前模式。
寬鬆模式下:預設允許存取流量
strict 模式下:繼續匹配策略B
匹配策略B的四元組。→命中
執行策略B動作:拒絕流量包
相關文檔
更多存取控制策略介紹,請參見存取控制策略概述。
配置互連網邊界存取控制策略,請參見配置互連網邊界存取控制策略。
配置NAT邊界存取控制策略,請參見配置NAT邊界存取控制策略。
配置VPC邊界存取控制策略,請參見配置VPC邊界存取控制策略。