您可以在两个网络对象之间创建访问流量的防御规则,实现对源网络对象访问目的网络对象的流量进行管控。本文介绍如何创建防御规则。

背景信息

容器防火墙的防御规则可以实现网络的隔离,它由一个源网络对象、一个目的网络对象、一组端口范围、一个过滤动作和规则优先级这五部分组成。

操作步骤

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择主动防御 > 容器防火墙
  3. 容器防火墙页面,单击防护管理页签。
  4. 防护管理页签下的集群列表中,定位到要创建防御规则的集群,单击其操作列的规则管理
  5. 防御规则面板上,单击创建规则
  6. 创建规则面板上为该集群创建防御规则。
    1. 配置源网络对象。
      您需要进行以下配置:
      • 规则名称:为该防御规则设置名称。
      • 网络对象:选择源网络对象,即访问流量的来源。
    2. 单击下一步
    3. 配置目的网络对象。防御规则
      您需要进行以下配置:
      配置项 说明
      网络对象 选择访问流量的目的对象。
      端口 输入访问的端口范围。
      说明 最多支持设置8组端号范围,端号范围不可重复。多个端口范围使用半角逗号(,)隔开,例如:20/30,80/90。
      动作 选择规则的执行动作。取值:
      • 拦截:对访问流量进行拦截。
      • 告警:对访问流量放行并进行告警。
      • 放行:对访问流量放行(不会告警)。
      规则状态 防御规则的状态。取值:
      • 开启:该防御规则创建成功后为生效状态。
      • 关闭:该防御规则创建成功后为不生效状态。
      优先级 设置该防御规则的优先级。优先级为1~1000,数字越小优先级越高。
  7. 单击确定

    新创建的防御规则会展示在防御规则列表中,并按照优先级由高到低的顺序排列。新建的防御规则默认为关闭状态,您需要开启防御规则,规则才会生效。开启防护规则的具体操作,请参见防御状态与规则管理

    防御规则启用后,该集群的防御规则会按照您新建防御规则时设置的优先级顺序依次执行。
    说明 如果防御规则列表中的第一条规则未命中,则继续尝试匹配规则列表中的第二条规则,直到命中规则后,按规则中的动作来执行。如果没有命中任何规则,容器防火墙会执行放行的动作。