全部产品
Search
文档中心

云防火墙:访问控制策略概述

更新时间:May 09, 2025

开启防火墙后,若未配置访问控制策略,系统将默认允许所有流量通过。为了更好地管理对资产的未授权访问,您可以根据需求设置特定的流量拦截或放行策略。本文介绍云防火墙访问控制策略的工作原理及其计费方式。

功能概述

云防火墙提供适用于互联网边界、NAT边界、VPC边界和主机边界的访问控制策略能力,您可以为不同的防火墙配置访问控制策略,拦截未授权的流量访问,实现多方位流量的安全隔离管控。本文介绍的访问控制策略原理仅适用于互联网边界、NAT边界和VPC边界访问控制策略。

说明

主机边界访问控制策略的具体信息,请参见配置主机边界访问控制策略

策略包含的元素

访问控制策略支持识别并匹配不同流量元素,实现对相关流量的放行或拒绝。

匹配项

说明

配置类型

不同策略支持的配置类型

访问源

网络连接发起方

  • IP:对特定的单个IP地址段发起的流量进行访问控制。

  • IP地址簿:对一系列IP地址段发起的流量进行访问控制。

  • 区域:对特定地理区域发起的流量进行访问控制。

  • 互联网边界出向策略、NAT边界出向策略、VPC边界策略:支持IP和IP地址簿。

  • 互联网边界入向策略:支持IP、IP地址簿和区域。

目的

网络连接接收方

支持IP、IP地址簿、域名和区域。

  • IP:对特定的单个IP地址段收到的流量进行访问控制。

  • IP地址簿:对一系列IP地址段收到的流量进行访问控制。

  • 域名:对域名地址收到的流量进行访问控制。

  • 区域:对特定地理区域收到的流量进行访问控制。

  • 互联网边界出向策略、NAT边界出向策略:支持IP、IP地址簿、域名和区域类型。

  • VPC边界策略:支持IP、IP地址簿和域名类型。

  • 互联网边界入向策略:支持IP和IP地址簿类型。

协议类型

传输层协议

支持TCP、UDP、ICMP和ANY。

不确定具体协议类型时可选择ANY

所有策略:支持所有类型。

端口

目的端口

对访问流量经过的端口进行访问控制,支持端口和端口地址簿。

  • ICMP协议不支持配置端口。

  • ANY协议若需要命中ICMP协议流量,端口需要包含0,例如0/80。

应用

应用层协议

支持HTTP、HTTPS、SMTP、SMTPS、SSL、FTP、IMAPS、POP3等多种协议。不确定具体应用类型时可选择ANY

说明

云防火墙会根据不同的端口来识别TLS和SSL流量的应用类型。

  • 443:HTTPS

  • 465:SMTPS

  • 993:IMAPS

  • 995:POPS

  • 其他端口:SSL

取决于选择的协议类型。

策略工作原理

如果您未配置任何访问控制策略,云防火墙在访问控制策略匹配环节,默认放行所有流量。

配置访问控制策略后,云防火墙会按照特定的逻辑将访问控制策略展开为一条或多条匹配规则,并下发到引擎。当流量经过云防火墙时,云防火墙按照策略的优先级,依次匹配流量报文,如果流量报文命中某一条策略,则执行该策略动作,并结束策略匹配,否则将继续匹配下一优先级策略,直至命中策略或匹配完所有配置的策略。如果流量匹配完所有访问控制策略后还是没有命中,默认放行该流量。

重要
  • 创建、修改和删除访问控制策略后,云防火墙约需要3分钟将策略下发到引擎。

  • 访问控制策略的优先级数值越小,优先级越高。为了确保访问策略匹配最优,建议您将经常匹配和细化匹配的策略设置为高优先级。

访问控制策略的工作原理如下图所示。

image

策略执行动作

访问控制策略的动作支持设置为放行观察拒绝。当流量包的报文元素与访问控制策略规则匹配成功时,云防火墙执行该访问控制策略的动作。

策略的动作设置为观察模式后,当策略匹配成功时仍会放行流量。您可以在观察一段时间后,根据需要调整为放行拒绝

说明

您可以进入流量日志页面查看流量数据。具体操作,请参见日志审计

策略占用规格

配置访问控制策略后,云防火墙将按照访问源、目的地址、协议类型、端口、应用配置项的对象数量,统计每条访问控制策略的实际占用规格数。

计算方式

策略占用规格数的计算公式如下:

  • 单条策略占用的规格数=源地址个数(IP地址段个数或区域个数)*目的地址个数(IP地址段个数或区域个数或域名个数)*端口段个数*应用数

    重要

    互联网边界防火墙、VPC边界防火墙、NAT边界防火墙均可配置目的类型域名的访问控制策略。当此类策略中使用了与DNS域名解析相关(包括基于DNS动态解析、同时基于FQDN与DNS动态解析)的域名识别模式时,在各个边界防火墙的占用规格数按照阶梯计数。

    当某个边界防火墙中此类策略总规格数为0~200时,此类策略总占用规格数计算为实际的总规格数;当此类策略总规格数为200以上,此类策略总占用规格数计算为200+超出200的规格数*10。

    例如,您在互联网边界防火墙已经配置了一条目的域名为aliyun.com的基于DNS动态解析的策略,该策略实际规格数为185,此时如果您还需要创建一条基于DNS动态解析的域名策略,假设该策略的实际规格数为16,则您创建成功后这两条策略在互联网边界防火墙的总规格占用数为200+(185+16-200)*10 = 210。

    您可以在访问控制策略列表的占用规格数列,查看每条访问控制策略的实际占用规格数。

    image.png

  • 访问控制策略的使用规格数=所有访问控制策略占用的规格数之和(包含出向策略和入向策略)

    您可以在访问控制策略的页面上方,查看对应策略的使用规格。例如互联网边界的使用规格统计数据如下所示:

    image.png

计费说明

  • 云防火墙包年包月版(高级版、企业版、旗舰版)的基础价格默认提供一定数量的访问控制策略规格数。如果默认提供的访问控制策略授权规格数不满足需求,您可以按需扩展。

    扩展规格适用于互联网、NAT及VPC边界防火墙,共享占用。更多信息,请参见包年包月

  • 云防火墙按量版最多支持创建互联网边界访问控制策略2,000规格数、NAT边界访问控制策略2,000规格数、VPC边界访问控制策略10,000规格数,暂时不支持扩展。更多信息,请参见按量付费

策略占用规格计算示例

示例

策略配置

单条策略占用的规格数

示例一

  • 访问源:19.16.XX.XX/32,17.6.XX.XX/32

  • 目的地址:www.aliyun.com

  • 协议类型:TCP

  • 端口:80/88,443/443

  • 应用:HTTP,HTTPS

访问源:2个IP。

目的地址:1个域名。

协议:TCP。

端口:2段。

应用:2种。

单条策略占用规格数=2×1×2×2=8

示例二

  • 访问源:北京市,浙江省

  • 目的地址:19.18.XX.XX/32

  • 协议类型:TCP

  • 端口:80/80

  • 应用:HTTP

访问源:2个。

目的地址:1个IP。

协议:TCP。

端口:1段。

应用:1种。

单条策略占用规格数=2*1*1*1=2

相关文档