如果您需要精细化管控私网主机资产到互联网的流量访问,您可以配置NAT边界访问控制策略,拦截私网资产到互联网的未授权访问,有效地降低核心业务数据泄露等风险。本文以配置仅允许私网主机访问特定网站域名为例,介绍如何设置NAT边界访问控制策略。
场景示例
本文以下图场景为例,您的业务中有一台私网云服务器ECS(主机),通过公网NAT网关实现访问互联网,其中,主机的私网IP为10.10.XX.XX。出于资产安全考虑,您需要配置仅允许主机访问www.aliyun.com网站。
配置步骤
登录云防火墙控制台。
在左侧导航栏,选择。
在NAT边界页面,选择待配置的NAT网关,单击创建策略。
云防火墙会自动同步您当前账号下关联的NAT网关,您可以单击下拉框选择待配置的NAT网关。
在创建策略-NAT边界面板,然后配置一条允许主机访问www.aliyun.com的高优先级策略和一条拒绝主机访问所有公网的低优先级策略。
配置一条允许主机访问www.aliyun.com的策略,关键配置项如下:
访问源:10.10.X.X/32
目的类型:域名
目的:www.aliyun.com
域名识别模式:基于FQDN(报文提取Host/SNI)
协议类型:TCP
端口:443/443
应用:HTTPS
动作:放行
优先级:最前
配置一条拒绝主机访问所有公网IP的策略,关键配置项如下:
访问源:10.10.X.X/32
目的:0.0.0.0/0,表示所有主机的IP地址
协议类型:ANY
端口:0/0,表示主机的所有端口
应用:ANY
动作:拒绝
优先级:最后
配置完成后,请确认允许主机访问www.aliyun.com的策略优先级高于拒绝主机访问所有公网的策略。
后续步骤
业务运行一段时间后,您可以在访问控制策略列表的命中次数/最近命中时间列,查看访问控制策略的命中情况。
单击命中次数可跳转到流量日志页面,查看流量日志。关于如何查看流量日志,请参见日志审计。
相关文档
NAT边界访问控制策略的详细配置指导,请参见配置NAT边界访问控制策略。
更多访问控制策略配置原则,请参见访问控制策略配置示例。
更多关于访问控制策略的配置和使用问题,请参见访问控制策略常见问题。