主机边界防火墙可以对ECS实例间的入流量和出流量进行访问控制,限制ECS实例间的未授权访问。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。
背景信息
- 支持策略的批量发布。
- 策略组在未设置放行策略的情况下,该策略组中的ECS实例之间无法互通。
- 策略支持观察模式。
- 同应用组配合,自动创建安全组。
- 在云防火墙控制台可实现策略的统一管控,并且无需切换ECS实例所在的地域。
默认情况下,您最多可以创建100个策略组和100条策略,即在ECS安全组创建并同步到云防火墙的策略数量和在云防火墙主机边界防火墙创建的策略数量加起来不超过100条。如果当前策略数量上限无法满足您的需求,建议您及时清理无需使用的策略,或者通过配置VPC边界访问控制策略,减少配置不必要的主机防火墙策略。
说明 关于主机边界防火墙和ECS安全组的区别,请参见云防火墙和安全组有什么差异?
策略组类型
策略组分为普通策略组和企业策略组。两种策略组的应用场景介绍如下:
- 普通策略组对应于ECS的普通安全组,是一种虚拟防火墙,具备状态检测和数据包过滤功能,用于在云端划分安全域。您可以通过配置策略组策略,允许或拒绝策略组内的ECS实例的入流量、出流量。
- 企业策略组对应于ECS的企业安全组,是一种全新的策略组类型,相比原有的普通策略组,大幅提升了组内容纳实例数量,不再限制组内私网IP数量,规则配置方式更加简洁便于维护,适用于对整体规模和运维效率有较高需求的企业级用户。
下表列举了两种策略组的差异。
功能 | 普通策略组 | 企业策略组 |
---|---|---|
支持专有网络VPC | 是 | 是 |
支持设置规则优先级 | 是 | 否 |
支持授权给其他策略组 | 是 | 否 |
支持手动设置允许访问的策略 | 是 | 是 |
支持手动设置拒绝访问的策略 | 是 | 否,企业策略组默认拒绝任何访问请求。 |
能容纳的私网IP地址数量 | 2000 | 65536 |
默认支持同一个策略组内ECS实例互通 | 否,需要在该策略组中创建允许的策略。 | 否,需要在该策略组中创建允许的策略。 |
新建策略组
配置策略
创建策略组之后,您还需要在该策略组中添加具体的访问控制策略。
发布策略
创建策略后,您还需要发布该策略,策略才会生效,并开始对相应的内网流量进行访问控制。