云防火墙的外-内和内-外流量是指面向互联网的流量,也就是南北向流量。您可以通过云防火墙访问控制功能对南北向的访问控制策略进行自定义配置,从而实现对访问流量的精准控制、保护您的网络安全。

背景信息

假如ECS(主机)IP地址是10.1.X.X,EIP是47.100.X.X,需要设置内-外流量只允许主机访问www.aliyundoc.com这个域名。

说明 EIP即弹性公网IP,是可以独立购买和持有的公网IP地址资源。EIP详细介绍参见什么是弹性公网IP

操作步骤

  1. 登录云防火墙控制台。在左侧导航栏,选择访问控制 > 互联网边界防火墙
  2. 互联网边界防火墙内对外页签,配置内对外流量只允许主机访问www.aliyundoc.com

    创建策略时的配置信息如下:

    • 源类型选择IP访问源输入47.100.X.X/32
    • 目的类型选择域名目的输入www.aliyundoc.com
    • 协议类型选择TCP
    • 端口类型选择端口端口输入0/0
    • 应用根据域名的类型选择HTTPHTTPS
    • 动作选择放行
    • 输入描述信息。建议输入策略及其目的的描述。
  3. 配置内对外流量放行DNS解析。

    创建策略时的配置信息如下:

    • 源类型选择IP访问源输入47.100.X.X/32
    • 目的类型选择IP目的输入0.0.0.0/0
    • 协议类型选择UDP
    • 端口类型选择端口端口输入53/53
    • 应用选择ANY
    • 动作选择放行
    • 输入描述信息。建议输入策略及其目的的描述。
  4. 将除放行策略之外的流量设置为拒绝

    创建策略时的配置信息如下:

    • 源类型选择IP访问源输入0.0.0.0/0
    • 目的类型选择IP目的输入0.0.0.0/0
    • 协议类型选择ANY
    • 端口类型选择端口端口输入0/0
    • 应用选择ANY
    • 动作选择拒绝
    • 输入描述信息。建议输入策略及其目的的描述。
  5. 策略配置完成后,确认放行www.aliyundoc.com域名策略(步骤3)和第2条放行DNS(步骤4)策略优先级是高于配置拒绝所有流量策略(步骤5)。

后续操作

访问控制策略配置完成后,可以通过访问控制互联网边界防火墙页签查看策略的命中情况;通过流量日志页面查看该策略命中的流量。