主机边界防火墙（ECS实例间） - 云防火墙

主机边界防火墙可以对ECS实例间的入流量和出流量进行访问控制，限制ECS实例间的未授权访问。主机边界防火墙的访问控制策略发布后，会自动同步到ECS安全组并生效。本文介绍如何配置主机边界防火墙。

背景信息

相比于为ECS实例创建安全组规则，通过主机边界防火墙定义访问控制策略具有以下优势：

支持策略的批量发布。
同应用组配合，自动创建安全组。
在云防火墙控制台可实现策略的统一管控，并且无需切换ECS实例所在的地域。

默认情况下，您最多可以创建100个策略组和100条策略，即在ECS安全组创建并同步到云防火墙的策略数量和在云防火墙主机边界防火墙创建的策略数量加起来不超过100条。如果当前策略数量上限无法满足您的需求，建议您及时清理无需使用的策略，或者通过配置VPC边界访问控制策略，减少配置不必要的主机防火墙策略。

版本支持说明

仅企业版和旗舰版云防火墙支持主机边界防火墙功能。

策略组类型

策略组分为普通策略组和企业策略组。两种策略组的应用场景介绍如下：

普通策略组对应于ECS的普通安全组，是一种虚拟防火墙，具备状态检测和数据包过滤功能，用于在云端划分安全域。您可以通过配置策略组，允许或拒绝策略组内的ECS实例的入流量、出流量。该策略组适用于对网络控制要求较高、网络连接数适中的用户场景。
企业策略组对应于ECS的企业安全组，是一种全新的策略组类型，相比原有的普通策略组，大幅提升了组内容纳实例数量，不再限制组内私网IP数量，规则配置方式更加简洁便于维护，适用于对整体规模和运维效率有较高需求的企业级用户。

普通安全组和企业安全组的对比差异如下表所示。


对比项	普通安全组	企业安全组
支持的网络类型	经典网络和VPC网络	VPC网络
支持所有实例规格	是	否，仅支持VPC网络类型的实例规格
经典网络下，能容纳的私网IP地址数量	1,000^①	不支持经典网络
VPC网络下，能容纳的私网IP地址数量	2,000^②，支持自助申请提高到6,000 说明您可以在配额中心找到专有网络普通安全组内的私网IP地址数量上限配额项进行申请。具体操作，请参见创建配额提升申请。	65,536^③
支持添加允许（或拒绝）访问的安全组规则	是	是
支持设置规则优先级	是	是
支持作为安全组规则的授权对象，授权给其他安全组	是	否
未添加任何安全组规则时，组内实例网络的互通策略	同一普通安全组内的实例及弹性网卡之间内网互通。说明未添加任何安全组规则的互通策略优先级高于其他任何自定义规则的优先级。不同普通安全组内的实例及弹性网卡之间内网隔离。默认拒绝所有入方向的访问请求。	同一企业安全组内的实例及弹性网卡之间内网隔离。不同企业安全组内的实例及弹性网卡之间内网隔离。默认拒绝所有入方向和出方向的访问请求。
在ECS控制台创建安全组时，系统默认添加的规则	入方向：5条入方向安全组规则，即针对TCP协议允许所有IP访问HTTP（80）、HTTPS（443）、SSH（22）、RDP（3389）端口，并针对ICMP（IPv4）协议允许所有IP访问所有端口。出方向：无。	入方向：5条入方向安全组规则，即针对TCP协议允许所有IP访问HTTP（80）、HTTPS（443）、SSH（22）、RDP（3389）端口，并针对ICMP（IPv4）协议允许所有IP访问所有端口。出方向：1条出方向安全组规则，即针对所有协议允许所有IP访问所有端口，避免引起网络连通性问题。

说明关于^①、^②和^③的限制说明，请参见安全组使用限制。ECS安全组的详细信息，请参见安全组概述。

配置流程

配置主机边界防火墙访问控制策略时，您必须先创建策略组（策略组中包含默认策略），然后在该策略组中配置入方向或出方向访问控制策略。完成策略组和策略配置后，必须发布策略组，才能将策略组策略同步到ECS安全组并生效。该策略组适用于对运维效率有更高需求的用户场景。

步骤一：创建策略组

登录云防火墙控制台。在左侧导航栏，选择访问控制 > 主机边界。
在主机边界页面，单击新增策略组。

在新建策略组对话框，配置策略组。


配置项	说明
策略组类型	选择策略组的类型：普通策略组企业策略组
策略组名称	按页面提示要求设置策略组的名称。建议使用方便识别的名称，便于识别和管理。
所属VPC	在所属VPC下拉列表中，选择应用该策略组的专有网络VPC。说明每个策略组只能配置一个VPC。
实例ID	从实例ID下拉列表中，选择应用该策略组的一个或多个ECS实例。说明实例ID列表只包含所属VPC下的ECS实例。
描述	简短地描述策略组，方便后续对安全组进行管理。
模板	从模板下拉列表中，选择要应用的模板类型： default-accept-login：默认放行TCP 22、TCP 3389协议入方向访问和所有出方向访问。 default-accept-all：默认放行所有入方向和出方向访问。 default-drop-all：默认拒绝所有入方向和出方向访问。说明企业策略组不支持default-drop-all选项。

单击确认。

步骤二：配置策略

创建策略组之后，您还需要在该策略组中添加具体的访问控制策略。

登录云防火墙控制台。在左侧导航栏，选择访问控制 > 主机边界。
在主机边界页面，定位到待设置的策略组，单击操作列下的配置策略。
在目标策略组页面，单击创建策略。

在创建策略对话框，配置策略参数。


配置项	说明
网卡类型	默认为内网且不可以修改，表示内网间的访问控制。
策略方向	选择策略方向：入方向：指其他ECS实例访问策略组内的ECS实例。出方向：指策略组内的ECS实例访问其他ECS实例。
策略类型	选择策略类型：允许：放行相应的访问流量。拒绝：直接丢弃数据包，不会返回任何回应信息。如果两条策略其他配置都相同，只有策略类型不同，则拒绝策略生效，允许策略不生效。说明企业策略组不支持拒绝选项。
协议类型	从协议类型列表选择访问流量的协议类型： TCP UDP ICMP ANY：表示任何协议类型。不确定访问流量的类型时可选择ANY。
端口范围	输入访问流量使用的端口地址范围。例如：22/22。
优先级	策略生效的优先级。使用整数表示，取值范围：1~100。优先级数值越小，优先级越高。优先级数值可重复。策略优先级相同时，拒绝类型的策略优先生效。
源类型和源对象	选择访问流量的来源。策略方向选择入方向时需要设置。您可以选择访问源地址的类型，并根据源类型设置源对象。可选的源类型：地址段访问选择该类型后，需要在源对象中手动输入访问源地址段。仅支持设置单个地址段。策略组选择该类型后，需要从源对象模块的策略组列表中，选择一个策略组作为源对象，表示对来自该策略组中所有ECS实例的流量进行管控。说明企业策略组不支持策略组选项。
目的选择	选择访问流量的目的地址。策略方向选择入方向时需要设置。可选择的目的地址类型：全部ECS：表示当前策略组中的所有ECS实例。地址段访问：选择该类型后，需要输入目的IP或CIDR地址段，表示当前策略组中该地址段对应的ECS实例。
源选择	选择访问源的类型。策略方向选择出方向时需要设置。访问源包含以下类型：全部ECS：表示当前策略组中的所有ECS实例。地址段访问：选择该类型后，需要输入目的IP或CIDR地址段，表示当前策略组中该地址段对应的ECS实例。
目的类型和目的对象	选择目的地址的类型并根据选择的目的类型设置目的对象。策略方向选择出方向时需要设置。可选的目的类型如下：地址段访问选择该类型后，需要手动输入访问目的地址段。仅支持设置单个地址段。策略组选择该类型后，从策略组列表中选择一个策略组，表示对本机访问该策略组中所有ECS实例的流量进行管控。说明企业策略组不支持策略组选项。
描述	策略的描述信息。

单击提交。
策略组创建完成后，您可以在策略列表中查看新建的策略，并根据需要编辑或删除已创建的策略。
警告删除策略后，策略中对应流量的访问控制将失效，请谨慎删除。删除策略后，策略记录仍会保留在策略列表中，但您无法再对其执行任何操作。

步骤三：发布策略

创建策略后，您还需要发布该策略，策略才会生效，并开始对相应的内网流量进行访问控制。

登录云防火墙控制台。在左侧导航栏，选择访问控制 > 主机边界。
在主机边界页面，定位到需要发布的策略组，单击操作列下的发布。
在策略发布对话框，设置变更备注，确认变更策略（即策略的变更内容），并单击确定。
策略发布后才会同步到ECS安全组并生效。您可以在ECS控制台的安全组 > 安全组列表页面，查看云防火墙同步到安全组中的访问控制策略。云防火墙中创建的策略组策略名称默认为Cloud_Firewall_Security_Group。

云防火墙：主机边界防火墙（ECS实例间）