GA聯動Cloud Firewall實現地區級存取控制與加速 - Global Accelerator

全球化應用需要應對來自全球各地使用者的訪問，同時需要對所有進出流量統一管控防護。Global AccelerationGA依託阿里雲優質BGP頻寬和全球傳輸網路，提供高可靠和高效能的網路加速服務，Cloud Firewall的互連網邊界防火牆提供精細化的流量管控和防護能力。通過GA和Cloud Firewall聯動，可以有效提升應用的安全性、效能和穩定性。

情境樣本

某公司專屬應用程式部署在美國矽谷，用戶端主要集中在中國。該企業面臨以下問題：

因跨國公網不穩定，用戶端經常出現延遲、抖動、丟包等網路問題。
海外流量中存在較高比例的惡意攻擊、爬蟲和其他非目標使用者的訪問，不僅對應用安全有一定威脅，還增加了不必要的流量，導致伺服器負載增加，影響整體效能。

為解決以上問題，該企業決定通過GA提升中國地區用戶端的訪問體驗。同時，使用Cloud Firewall的互連網邊界存取控制策略功能，攔截海外地區的流量訪問。

使用限制

Cloud Firewall的互連網邊界防火牆支援防護的公網資產類型包括GA的加速IP（即GA EIP類型），但該加速IP需滿足以下條件：

該加速IP所屬GA執行個體必須為標準型執行個體。
加速IP類型必須為Elastic IP Address類型。
該加速IP所屬加速地區不能為阿里雲POP點。
查看加速地區是否為阿里雲POP點，請參見ListAvailableBusiRegions。

前提條件

您的來源站點伺服器已部署了應用服務。
本文以Alibaba Cloud Linux 3作業系統為例，並使用Nginx配置後端HTTP 80服務。
ECS中測試服務的部署命令參考樣本
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World ! This is This is the Silicon Valley data center test page." > index.html
```
您已經購買了Cloud Firewall服務。具體操作，請參見購買Cloud Firewall服務。

操作步驟

步驟一：配置GA執行個體

本文以隨用隨付的標準型GA執行個體為例。

在Global Acceleration控制台的標準型執行個體 > 執行個體列表列表頁面，單擊建立標準型隨用隨付執行個體。
在執行個體基礎配置嚮導頁面，配置基礎資訊，單擊下一步。
在配置加速地區嚮導頁面，添加加速地區並為其分配頻寬，然後單擊下一步。
本文情境中，加速地區添加為中國香港，公網品質類型配置為BGP（多線），加速地區其他參數配置可保持預設值或根據實際情況修改。
重要
- 加速地區包含中國內地地區時，自有網域名稱必須完成ICP備案才可對外提供服務。
- 如果頻寬峰值設定過低，可能出現限速從而導致流量被丟棄，請合理規劃頻寬峰值，確保和業務需求匹配。
在配置監聽設定精靈頁面，配置轉寄協議與連接埠，然後單擊下一步。
本文情境中，協議配置為HTTP，連接埠配置為80，監聽其他參數配置可保持預設值或根據實際情況修改。
在配置終端節點群組設定精靈頁面，配置終端節點後端服務，然後單擊下一步。
本文情境中，地區選擇美國（矽谷），後端服務類型選擇自訂IP，後端服務輸入來源站點公網IP，然後閱讀並選中資料跨境合規承諾，終端節點群組其他參數配置可保持預設值或根據實際情況修改。
在組態稽核設定精靈頁面，確認Global Acceleration的配置資訊，然後單擊提交。
可選：建立任務完成後，在建立任務詳情列表下方，單擊進入執行個體詳情，然後在執行個體詳情頁，可選擇執行個體資訊、監聽、加速地區等頁簽查看執行個體配置資訊。
例如，GA的加速IP可從加速地區頁簽下擷取。

步驟二：配置Cloud Firewall

在Cloud Firewall控制台的防火牆開關頁面，選擇互聯網邊界防火牆頁簽，在IPv4頁簽下，找到已建立GA的加速IP，在操作列單擊開啟保護。
您可以選擇資產類型為GA EIP，並輸入GA的執行個體ID，進行資產篩選。開啟後，防火牆狀態列顯示為保護中，表示開啟成功。關於開啟防火牆開關更多資訊，請參見互連網邊界防火牆。
在Cloud Firewall控制台的防護配置 > 存取控制 > 互連網邊界頁面，選擇入向頁簽，並單擊新增策略。

在新增外-內策略面板，選擇自定义创建頁簽，配置策略，然後單擊確定，並根據提示完成地址簿建立。

本文情境中，可參考下表進行配置。您還可以根據實際情況修改，存取控制策略配置詳細資料，請參見配置互連網邊界存取控制策略。

配置項	說明	本文情境樣本值
源類型	網路流量的發起方。您需要選擇訪問源類型，並根據訪問源類型輸入發送流量的訪問源地址。	地區
訪問源	網路流量的發起方。您需要選擇訪問源類型，並根據訪問源類型輸入發送流量的訪問源地址。	全部國際地區（即中國以外的地區）
目的類型	網路流量的接收方。您需要選擇目的類型，並根據目的類型輸入接收流量的目的地址。	IP
目的	網路流量的接收方。您需要選擇目的類型，並根據目的類型輸入接收流量的目的地址。	輸入GA的加速IP（尾碼/32）
協議類型	傳輸層協議類型，支援設定為：TCP、UDP、ICMP、ANY。不確定具體協議時可選擇ANY。	ANY
連接埠類型	設定目的連接埠類型和目的連接埠。	連接埠
連接埠	設定目的連接埠類型和目的連接埠。	輸入0/0，表示所有連接埠
應用	設定訪問流量的應用類型。	ANY
動作	設定匹配成功的流量在該條策略的允許存取情況。允許存取：允許存取該流量。拒絕：攔截該流量，並且不會提供任何形式的通知資訊。觀察：該模式下，預設允許存取流量。觀察一段時間後，您可根據需要調整為允許存取或拒絕。	拒絕
優先順序	選擇該策略的優先順序，預設為最後，表示優先順序最低。	最前
策略有效期間	設定該策略的有效時間段。策略僅在有效時間段內才可用於匹配流量。	總是
啟用狀態	設定是否啟用策略。如果您建立策略時未啟用策略，可以在策略列表中開啟策略。	啟用

CFW 入向策略.png

步驟三：結果驗證

Cloud Firewall存取控制策略生效驗證

本文以中國香港地區以及德國（法蘭克福）地區的用戶端訪問為例進行測試。

分別在中國香港地區以及德國（法蘭克福）地區用戶端，通過瀏覽器訪問GA的加速IP，檢查是否可正常訪問後端服務。
- 中國香港地區用戶端訪問GA的加速IP，結果如下：
- 德國（法蘭克福）地區的用戶端訪問GA的加速IP，結果如下：
經驗證，Cloud Firewall的互連網邊界存取控制策略配置生效，已成功攔截海外地區的流量。
在存取控制策略列表的叫用次數/最近命中時間列，查看存取控制策略的命中情況；單擊叫用次數可跳轉到流量日誌頁面，查看流量細節。
例如，您可以設定查詢條件的目的IP為GA的加速IP，應用識別狀態為已被策略攔截，查看被攔截的流量細節。
您還可以通過日誌審計，查看攻擊事件、動作記錄等。更多資訊，請參見日誌審計。
在入侵防禦頁面的互連網防護頁簽，可查看防護資料統計和防護明細列表。
例如，您可以在防護明細列表上方輸入目的IP為GA的加速IP，進行搜尋，查看Cloud Firewall對攻擊流量的防護明細。
關於入侵防護能力更多資訊，請參見入侵防禦。