本文介绍常见的访问控制策略配置示例,帮您更清楚地了解如何配置互联网边界防火墙、VPC边界防火墙、主机边界防火墙的访问控制策略。
互联网边界防火墙策略配置示例
云防火墙的入方向和出方向流量是指面向互联网的流量,也就是南北向流量。您可以通过云防火墙访问控制功能对南北向的访问控制策略进行自定义配置,从而实现对访问流量的精准控制、保护您的网络安全。关于互联网边界防火墙策略的配置项介绍,请参见互联网边界(出入双向流量)。
只允许公网流量访问指定端口的策略(入方向)
示例:ECS(主机)IP地址是10.1.XX.XX,绑定的EIP是200.2.XX.XX/32,需要设置所有公网(0.0.0.0/0)流量只允许访问主机的TCP 80端口。
登录云防火墙控制台。
在左侧导航栏,选择。
在入向页签,单击创建策略。在创建入向策略面板的自定义创建页签,配置如下策略。
配置一条允许所有公网流量访问主机的策略,单击确定。
关键配置项如下:
配置项
说明
示例值
源类型
网络流量的发起方。您需要选择访问源类型,并根据访问源类型输入发送流量的访问源地址。
IP
访问源
0.0.0.0/0
说明0.0.0.0/0表示所有公网IP。
目的类型
网络流量的接收方。您需要选择目的类型,并根据目的类型输入接收流量的目的地址。
IP
目的
200.2.XX.XX/32
协议类型
传输层协议类型,支持设置为:TCP、UDP、ICMP、ANY。不确定具体协议时可选择ANY。
TCP
端口类型
设置目的端口类型和目的端口。
端口
端口
80/80
应用
设置访问流量的应用类型。
ANY
动作
设置匹配成功的流量在该条策略的放行情况。
放行
优先级
选择该策略的优先级,默认为最后,表示优先级最低。
最前
启用状态
设置是否启用策略。如果您创建策略时未启用策略,可以在策略列表中开启策略。
启用
配置一条拒绝所有公网流量访问所有主机的策略,单击确定。
参考上述放行策略,配置拒绝策略,关键配置项如下:
目的:0.0.0.0/0
说明0.0.0.0/0表示所有主机的IP地址。
协议类型:ANY
端口:0/0
说明0/0表示主机的所有端口。
应用:ANY
动作:拒绝
优先级:最后
配置完成后,您需要确认允许外到内流量访问主机的TCP 80端口的策略优先级高于拒绝所有外到内流量访问主机的策略。
VPC边界防火墙策略配置示例
VPC边界防火墙可用于检测和控制两个VPC间的通信流量,也就是东西向流量。在对两个VPC之间的流量管控时,您需要拒绝可疑流量或恶意流量,或者先放行可信流量,再拒绝其他地址的访问。关于VPC边界防火墙策略的配置项介绍,请参见VPC边界。
不同VPC内ECS之间禁止访问
两个VPC同属于一个云企业网,或者已通过高速通道连接,则这两个VPC下部署的ECS之间可以互访。
示例:VPC1和VPC2同属于一个云企业网,VPC1下部署了ECS1实例(10.33.XX.XX/32),VPC2下部署了ECS2实例(10.66.XX.XX/32),需要禁止ECS1访问ECS2。
登录云防火墙控制台
在左侧导航栏,选择。
在VPC边界页面,单击创建策略。
在创建策略-VPC边界面板,配置如下策略,然后单击确认。
关键配置项如下:
配置项
说明
示例值
源类型
访问源地址的类型。
IP
访问源
发送流量的源地址。
10.33.XX.XX/32
目的类型
目的地址类型。
IP
目的
设置接收流量的目的地址。
10.66.XX.XX/32
协议类型
设置传输的协议类型。
TCP
端口类型
设置端口类型。
端口
端口
设置需要放开或限制的端口。可根据端口类型的配置项,手动输入单个端口,或者单击选择,从地址簿中选择预先配置的端口地址簿。
0/0
应用
设置访问流量的应用类型。
ANY
动作
允许或拒绝该流量通过VPC边界防火墙。
拦截
主机边界防火墙(ECS实例间)策略配置示例
主机边界防火墙可以对ECS实例间的入流量和出流量进行访问控制,限制ECS实例间的未授权访问。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。关于主机边界防火墙策略的配置项介绍,请参见主机边界(ECS实例出入流量)。
同一策略组中ECS实例之间实现互访
如果您通过ECS控制台来设置安全组规则,同一安全组内的ECS实例之间默认互通。这一点是云防火墙主机边界防火墙与ECS安全组最明显的区别。
示例:当前策略组sg-test下的存在ECS1和ECS2,ECS1的IP地址是10.33.XX.XX,ECS2的IP地址是10.66.XX.XX。需要实现ECS1和ECS2之间互访。
登录云防火墙控制台。
在左侧导航栏,选择。
在主机边界页面,定位到目标策略组,单击操作列的配置策略。
在入方向页签,单击创建策略。
配置入方向的放行策略,关键配置项如下:
配置项
说明
示例值
策略类型:
选择策略类型。
允许
协议类型
从协议类型列表选择访问流量的协议类型。
TCP
端口范围
输入访问流量使用的端口地址范围。
0/0
源类型、源对象
选择访问流量的来源 。策略方向选择入方向时需要设置。您可以选择访问源地址的类型,并根据源类型设置源对象。
源类型:策略组
源对象:sg-test
目的选择
选择访问流量的目的地址。策略方向选择入方向时需要设置。
地址段访问,IP地址段设置为10.66.XX.XX
说明如果需要该策略组内的所有ECS实例实现互访,目的选择设置为全部ECS。
如果需要该策略组内的部分ECS实例实现互访,目的选择设置为地址段访问,并填写对端ECS的IP地址段。
如果您是企业安全组,那么也需要配置出方向的放行策略。
普通安全组出方向默认是放行策略,无需您另外配置。
您可以参考入方向的策略进行配置,关键配置项如下:
源类型:IP
源对象:10.66.XX.XX
IP地址段:10.33.XX.XX
不同策略组中ECS实例之间互访
示例:ECS1和ECS2属于不同的主机边界防火墙策略组,ECS1的IP地址是10.33.XX.XX,ECS2的IP地址是10.66.XX.XX。需要实现ECS1和ECS2互访。
登录云防火墙控制台。
在左侧导航栏,选择。
在主机边界页面,定位到ECS1所在的策略组,单击操作列的配置策略。
在入方向页签,单击创建策略。
配置入方向的放行策略,关键配置项如下:
配置项
说明
示例值
策略类型
选择策略类型。
允许
协议类型
从协议类型列表中选择访问流量的协议类型。
TCP
端口范围
输入访问流量使用的端口地址范围。
0/0
源类型、源对象
选择访问流量的来源 。策略方向选择入方向时需要设置。您可以选择访问源地址的类型,并根据源类型设置源对象。
源类型:IP
源对象:10.66.XX.XX
目的选择
选择访问流量的目的地址。策略方向选择入方向时需要设置。
地址段访问,IP地址段设置为10.33.XX.XX
说明如果需要sg-test2策略组内的ECS实例访问sg-test1策略组所有ECS,目的选择设置为全部ECS。
如果需要sg-test2策略组内的ECS实例访问sg-test1策略组部分ECS,目的选择设置为地址段访问,并填写sg-test1策略组内ECS的IP地址段。
如果您是企业安全组,那么也需要配置出方向的放行策略。
普通安全组出方向默认是放行策略,无需您另外配置。
您可以参考入方向的策略进行配置,关键配置项如下:
源类型:IP
源对象:10.33.XX.XX
IP地址段:10.66.XX.XX
根据上述ECS1的策略配置,配置ECS2入方向和出方向的放行策略。