云防火墙：配置外到内流量只允许访问某个端口的访问控制策略

云防火墙的外对内和内对外流量是指面向互联网的流量，也就是南北向流量。您可以通过云防火墙访问控制功能对南北向的访问控制策略进行自定义配置，从而实现对访问流量的精准控制、保护您的网络安全。

外对内和内对外流量的访问控制支持自定义IP地址簿简化配置流程，可有效减少策略数量，提高配置效率。

背景信息

假如ECS（主机） IP地址是10.1.1.1， EIP是200.2.XX.XX , 需要设置外到内流量只允许访问主机的TCP 80端口。

说明 EIP即弹性公网IP，是可以独立购买和持有的公网IP地址资源。EIP详细介绍参见什么是弹性公网IP。

实施步骤

1. 在阿里云云防火墙控制台定位到访问控制功能的外对内页签。
2. 配置允许外到内流量访问主机的TCP 80端口。
   • 新增外对内策略中源类型选择IP，访问源输入0.0.0.0/0。
   • 目的类型选择IP，目的输入200.2.XX.XX/32。
   • 协议类型选择TCP。
   • 端口类型选择端口，端口输入80/80。
   • 应用选择ANY。
   • 动作选择放行。
   • 输入描述信息。建议输入策略及其目的的描述。
3. 配置拒绝所有外部流量访问主机的外-内访问控制策略。
   • 新增外-内策略中源类型选择IP，访问源输入0.0.0.0/0。
   • 目的类型选择IP，目的输入0.0.0.0/0。
   • 协议类型选择ANY。
   • 端口类型选择端口，端口输入0/0表示所有端口。
   • 应用选择ANY。
   • 动作选择拒绝。
   • 输入描述信息。建议输入策略及其目的的描述。
4. 策略配置完成后，确认第一条放行80端口策略优先级是高于第二条配置的拒绝所有流量策略的。
   说明 调整策略优先级操作详见修改云防火墙访问控制策略的优先级。

后续操作

访问控制策略配置完成后，可以通过访问控制页面中的命中次数观察策略的命中情况；通过流量日志页面查看该策略命中的流量。