互联网边界防火墙支持对Web资产的出、入流量访问控制。您可以在云防火墙中配置访问控制策略,限制Web资产和互联网之间的未授权访问。本文介绍如何配置互联网边界防火墙入方向和出方向的访问控制策略。

前提条件

已开启互联网边界防火墙开关。如果未开启互联网边界防火墙,那么配置的访问策略将不生效。更多内容,请参见开启互联网边界防火墙

背景信息

互联网边界防火墙支持出方向(内网访问外部互联网)和入方向(外部互联网访问您的内部网络)流量访问控制,并提供策略导出功能。

互联网边界防火墙支持IPv4访问控制策略(即策略的访问源IP、目的IP使用IPv4格式)和IPv6访问控制策略(即策略的访问源IP、目的IP使用IPv6格式),云防火墙各版本对该功能支持的情况不同。更多内容,请参见功能特性

使用限制

互联网边界防火墙访问控制策略默认规格如下:
  • 高级版:最多4,000条。

    如果无法满足您的业务需求,可以通过ACL全局扩展规格扩展互联网边界防火墙策略授权规格。可选范围:0~50,000条。

  • 企业版:最多10,000条。

    如果无法满足您的业务需求,可以通过ACL全局扩展规格扩展互联网边界防火墙策略授权规格和VPC边界防火墙策略授权规格。可选范围(共计):0~100,000条。

  • 旗舰版:最多20,000条。

    如果无法满足您的业务需求,可以通过ACL全局扩展规格扩展互联网边界防火墙策略授权规格和VPC边界防火墙授权规格。可选范围(共计):0~200,000条。

  • 出方向目的类型域名,且应用不为HTTPHTTPSSMTPSMTPSSSL的策略:不超过200条。

如果默认规格无法满足您的业务需要,您可以扩展。

已配置策略数=出方向策略数+入方向策略数。

单条策略占用访问控制策略的规格数=访问源地址段个数*(目的地址段个数或区域个数或域名解析个数)*应用数*端口段个数。

占用访问控制策略的规格数为每条策略占用规格数的累加值。

创建自定义策略

支持创建出方向(内网访问外部互联网)和入方向(外部互联网访问您的内部网络)的自定义策略。

  1. 登录云防火墙控制台。在左侧导航栏,选择访问控制 > 互联网边界
  2. 互联网边界,单击出向或者入向
  3. 出向或者入向页签,单击创建策略
  4. 创建出向策略或者创建入向策略面板,单击自定义创建
  5. 参考下表说明,创建访问控制策略。然后单击确定
    配置项说明
    源类型选择访问源的类型。可选项:
    • IP
    • 地址簿
    • 区域(仅入方向策略支持选择区域)
    访问源设置访问流量的来源地址:
    • 选择IP作为源类型时,支持输入单个或者多个IP地址,多个IP地址需使用半角逗号(,)隔开,最多可添加2000个IP。
    • 选择地址簿作为源类型时,您可以单击目标地址簿操作列的选择,选择目标地址簿作为访问源

      地址簿是您预先配置的IP地址簿,是多个IP地址段的组合,便于您在配置策略时对多个IP地址管控。每次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。

    • 选择区域(仅入方向策略支持选择区域)作为源类型时,您可以在区域下拉框中选择1个区域或者多个区域。目前已支持中国全部区域,以及全部国际区域。
    目的类型

    访问流量的目的地址类型。可选择IP地址簿域名区域。其中域名和区域仅出方向策略支持。

    目的设置接收流量的目的地址。
    • 目的类型选择IP时,支持输入单个或者多个IP地址,多个IP地址需使用半角逗号(,)隔开,最多可添加2000个IP。
    • 目的类型选择地址簿时,您可单击指定地址簿右侧的选择按钮,选择该地址簿作为目的
    • 目的类型选择域名(仅出方向策略支持选择域名)时,云防火墙将自动为您解析该域名地址,并对该解析到的地址进行访问控制。
    • 目的类型选择区域(仅出方向策略支持选择区域)时,请您选择流量的目的地址所在的区域。可选中国区域或国际区域。
    协议类型设置该内到外访问流量的协议类型。当前支持配置的协议类型有:TCPUDPICMPANY。不确定具体协议类型时可选择ANY
    端口类型您可以选择以下端口地址类型:
    • 端口:支持输入单个或者多个端口,多个端口需使用半角逗号(,)隔开,最多可添加2000个端口。
    • 地址簿:是指您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。
    端口设置需要放开或限制的端口。可根据端口类型的配置项,手动输入端口,或者单击指定地址簿右侧的选择,从地址簿中选择预先配置的端口地址簿
    应用设置该内到外访问流量的应用类型。

    支持多种应用类型,具体应用类型请参见云防火墙控制台的互联网边界防火墙页面。

    协议类型选择TCP时,您可以选择任意应用类型;如选择其他类型协议,应用类型只能设置为ANY

    目的使用域名地址簿或泛域名时,您只能选择HTTP、HTTPS、SMTP、SMTPS或SSL。

    说明 识别应用依赖应用报文特征(协议识别不依据端口),应用识别失败时,该会话流量会被放行。如果您想拦截未知应用类型的流量,建议您开启互联网边界防火墙严格模式。更多信息,请参见互联网边界防火墙-严格模式
    动作设置允许或拒绝该流量通过互联网边界防火墙。本示例中选择放行
    • 放行:允许访问。
    • 拒绝:禁止访问,并且不会提供任何形式的通知信息。

      如果需要拒绝所有访问源访问外部互联网,将访问源地址设置为0.0.0.0/0,动作设置为拒绝,禁止所有未授权的访问。

    • 观察:设置为观察模式后仍允许源到目的访问。观察一段时间后,您可根据需要调整为放行拒绝
    描述输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
    优先级选择该策略的优先级,默认为最后,表示优先级最低。
    • 最前:指访问控制策略生效的优先级最高,最先生效。
    • 最后:指访问控制策略生效的优先级最低,最后生效。
    启用状态设置策略是否启用。

    如果您输入1个以上的访问源IP、目的IP、端口时,单击确定后会弹出创建地址簿对话框,您需要配置地址簿名称和描述信息。创建地址簿后,新创建的策略会自动应用这些地址簿。关于地址簿配置的详细信息,请参见地址簿管理

    如果您需要配置对可信源IP放行,对其他访问源拒绝的策略。推荐配置如下:
    1. 创建一条对可信源IP放行的策略。
    2. 创建一条拒绝所有访问源访问外部互联网的策略。
    3. 将对可信源放行策略的优先级高于拒绝策略的优先级。
    创建自定义策略后,您可以在访问控制自定义策略列表,对目标策略编辑、删除(支持逐条删除和批量删除)、复制或移动(移动即修改策略的优先级)。优先级修改后,策略原优先级之后的策略优先级都将相应依次递减。
    警告 删除策略后,该策略管控的流量将不受云防火墙的访问控制。请谨慎删除。

下发智能推荐策略

云防火墙可以自动学习您近30日的流量情况,并结合发现的流量风险,为您推荐多条智能策略,您需要及时在云防火墙控制台查看详细推荐策略,并根据需要选择是否下发推荐的智能策略(使策略生效)。支持下发出方向(内网访问外部互联网)和入方向(外部互联网访问您的内部网络)的智能策略。

警告 下发策略操作涉及一定风险,请确保您已完整知悉即将下发的策略内容,再执行下发策略操作。
  1. 登录云防火墙控制台。在左侧导航栏,选择访问控制 > 互联网边界
  2. 互联网边界,单击出向或者入向
  3. 出向或者入向页签,单击创建策略
  4. 创建出向策略或者创建入向策略面板,单击智能策略推荐
  5. 智能策略推荐页签,单击目标策略右侧的下发策略

    智能策略推荐面板罗列了云防火墙为您推荐的入方向或出方向的访问控制策略。如果推荐策略数量过多,您可以通过推荐类型访问目的筛选策略。

    对于已开放的公网IP,我们会推荐您在云防火墙上放行已开放且有流量的端口,并拒绝所有到其他端口的访问,从而减小资产对互联网的暴露面。

    您也可以勾选多条智能策略,然后单击批量下发,同时下发多条智能策略。

下发常用推荐策略

云防火墙会为您内置常用的策略。如果常用的推荐策略符合您的业务需求,您可以直接下发对应的常用策略。

警告 下发策略操作涉及一定风险,请确保您已完整知悉即将下发的策略内容,再执行下发策略操作。

推荐的常用策略支持忽略,忽略后该条常用策略将无法找回,请谨慎操作。如果您将所有的常用策略均已忽略,那常用策略推荐页签也无法显示。

  1. 登录云防火墙控制台。在左侧导航栏,选择访问控制 > 互联网边界
  2. 互联网边界,单击出向或者入向
  3. 出向或者入向页签,单击创建策略
  4. 创建出向策略或者创建入向策略面板,单击常用策略推荐
  5. 常用策略推荐页签,单击策略下方的一键下发

    常用策略推荐面板罗列了云防火墙为您推荐的入方向或出方向常用的访问控制策略。

查看是否有访问流量命中控制策略

访问控制策略配置完成后,默认情况下策略立即生效。

您可以在访问控制策略列表中定位到该新增的策略,如果命中次数/最近命中时间栏有显示对应的命中次数及时间,表示已有访问流量命中该策略。命中次数/最近命中时间是创建策略后,访问流量命中该策略的累计次数和最近一次命中该策略的时间。

您还可以单击命中次数,跳转到流量日志页面。流量日志页面规则名一栏会显示出该流量命中的访问控制策略的名称。
说明 流量日志仅展示最近7天内的流量信息。如果访问控制策略有命中次数,但命中策略是发生在7天前,流量日志列表中的数据将会为空。

出方向域名解析

云防火墙针对出方向(内网访问互联网)的场景下,支持访问控制策略中选择域名作为目的地址。云防火墙可以对域名进行DNS解析,提供可视化解析地址供您查看,并对该解析到的地址进行访问控制。

云防火墙针对出方向访问控制策略进行了升级,通过采用动态DNS解析实现了域名访问控制策略功能的增强。您可实时查看目的域名解析地址,并在解析地址变更时手动更新该地址。

对于DNS域名解析地址的出方向访问控制规则(访问流量协议为TCP,应用类型为HTTP、HTTPS、SSL、SMTP、SMTPS的数据除外),DNS解析域名地址后,该域名将被转化成IP地址。该出方向规则创建完成后,云防火墙将对域名解析出的IP地址进行防护,一个域名最多解析500个IP。

说明
  • 流量的应用类型为HTTP、SMTP时,云防火墙优先通过host字段来实现域名的访问控制。
  • 流量的应用类型为HTTPS、SMTPS、SSL时,云防火墙优先通过SNI字段来实现域名的访问控制。
  • 除了应用类型为HTTP、HTTPS、SSL、SMTP、SMTPS以外的数据,才支持动态DNS解析的方式实现流量的访问控制(即才能查看到解析后的域名IP地址)。
以下情况不支持DNS域名解析地址的访问控制策略:
  • 入方向流量。

    目前,仅出方向流量的访问控制策略支持DNS域名解析。

  • 目的地址域名为通配符域名(例如:*.example.com)。
  • 目的地址类型为域名地址簿
重要 配置DNS域名解析访问控制策略时,需要关注以下问题:
  • 从ECS访问外部域名地址时,只支持ECS默认配置的DNS解析服务器(即ADNS),不支持用户指定特殊的DNS。也就是说,如果您修改了ECS的DNS服务器地址,则该域名解析访问控制规则将无法生效。
  • 多个域名解析到同一个IP地址,访问控制策略会受影响。

    例如:配置一条放行example1.aliyun.com的FTP协议流量。假设example1.aliyun.com域名解析A记录为1.*.*.1,那么实际下发到引擎的规则为1.*.*.1的FTP协议允许。此时,如果域名example2.aliyun.com的A记录也解析为1.*.*.1,那么访问example2.aliyun.com的FTP协议也会被放行。

  • 域名的解析地址有变化时,云防火墙会使用最新的解析地址并自动更新对应的访问控制策略。

    如果域名example1.aliyun.com的解析结果由1.*.*.1变化为2.*.*.2,云防火墙自动更新访问控制策略(即云防火墙会自动应用最新解析的IP地址,确保要拦截或放行的域名指向的实时IP地址都能包含在该访问控制策略内)。策略自动更新的周期为30分钟,也就是说,对于已配置的DNS策略,当解析地址变化时,该策略将于30分钟后生效。

    如果您想根据实时变化的解析地址更新您的访问控制策略,可在该策略的编辑页面中单击域名解析,手动触发域名解析来获取最新的解析地址,并单击确定保存策略的更新。