VPC边界防火墙可用于检测和控制两个VPC间的通信流量。您可在云防火墙中配置访问控制策略,限制两个VPC之间的未授权访问。

前提条件

VPC边界防火墙默认不存在。因此在创建VPC访问控制策略前,您需要先创建并开启相应的VPC边界防火墙。

VPC边界防火墙开关开启后,访问控制策略才能生效。VPC边界防火墙

使用限制

云防火墙企业版和旗舰版支持VPC边界防火墙功能,高级版不支持。不同版本云防火墙实例支持配置的VPC边界防火墙访问控制策略数量有以下限制:
  • 企业版:最多10,000条。
  • 旗舰版:最多20,000条(可提交工单申请扩展)。

访问控制策略配置原理

VPC边界防火墙默认放行所有流量,在对两个VPC之间的流量进行管控时,您需要拒绝可疑流量或恶意流量;或者先放行可信流量,再拒绝其他任意地址的访问。

操作步骤

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制 > 访问控制
  3. 访问控制页面的VPC边界防火墙页签,单击创建策略新增策略
  4. 新增VPC边界防火墙策略对话框中,配置访问控制策略。新增VPC边界防火墙策略

    访问控制策略配置项详细说明,请参见以下配置项说明表:

    规则参数 参数选项说明
    源类型 访问源地址的类型。可选值:
    • IP地址访问源地址类型为IP地址,需手动输入IP地址段。
    • 地址簿访问源地址类型为地址簿,需从预先设置的地址簿列表中选择一个地址簿。
      说明 您可以将多个IP设置成一个地址簿,方便您在配置访问控制规则时简化规则。
    访问源 发送流量的IP或CIDR地址。
    说明 访问源只支持配置一个网段。
    如果源类型选择的是地址簿,需要从地址簿列表中选择一个地址簿作为访问源。
    说明 您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
    目的类型 您可以选择以下目的地址类型:
    • IP地址:目的地址设置为IP地址。
    • 地址簿:目的地址设置为地址簿。
    • 域名:目的地址设置为域名。支持设置为泛域名,例如:*.aliyun.com
    目的 设置接收流量的目的地址。
    • 选择IP作为目的类型时,该目的地址一定要设置成网段。
    • 选择地址簿作为目的类型时,您可单击指定地址簿操作栏的选择按钮,选择该IP地址簿作为目的
      说明 您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
    • 选择域名作为目的类型时,可以配置为域名或泛域名,例如:*.aliyun.com
    协议类型 您可选择以下协议:
    • ANY(任何协议)
    • TCP协议
    • UDP协议
    • ICMP协议
    端口类型 您可以选择以下端口类型:
    • 端口:只支持设置单个端口。
    • 地址簿:是指您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。
    端口 设置需要放开或限制的端口。可根据端口类型的配置项,手动输入单个端口,或者单击选择,从地址簿中选择预先配置的端口地址簿
    说明
    • 您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
    • 协议选择为ICMP,目的端口配置不生效。协议选择为ANY,对于ICMP流量做访问控制,目的端口配置不生效。
    应用 当前支持配置的应用:ANY、HTTP、HTTPS、Memcache、MongoDB、MQTT、MySQL、RDP、Redis、SMTP、SMTPS、SSH和VNC。

    协议选择TCP时,支持配置不同的应用类型;如选择其他类型协议,应用类型只能设置为ANY

    说明 识别应用依赖应用报文的特征(协议识别不依据端口);应用识别失败时,该会话流量会被放行。
    动作 允许或拒绝该流量通过VPC边界防火墙。 支持选择以下动作:
    • 放行:允许访问。
    • 拒绝:禁止访问,并且不会提供任何形式的通知信息。
    • 观察:设置为观察模式后仍允许源到目的的访问。观察一段时间后可根据需要调整为放行拒绝
    描述 对访问控制策略进行描述或备注。输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
    优先级 设置访问控制策略的优先级。默认优先级为最后。支持选择以下优先级:
    • 最后:指访问控制策略生效的顺序最低,最后生效。
    • 最前:指访问控制策略生效的顺序最高,最先生效。
    您可根据实际业务的需要,选择合适的VPC边界防火墙策略动作:
    • 拒绝:表示阻断可疑或恶意流量,拒绝其访问。
    • 放行:表示放行可信流量,允许其访问。选择放行策略动作时,您可以先创建可信流量的放行策略,再创建一条拒绝其他所有访问的策略。策略配置完成后,确认放行策略的优先级高于拒绝策略的优先级。有关优先级的详细内容,请参见设置和修改访问控制策略的优先级
    说明 VPC边界防火墙默认对所有地址放行。