互联网边界防火墙支持对Web资产的出、入流量进行访问控制。您可在云防火墙中配置访问控制策略,限制Web资产和互联网之间的未授权访问。

前提条件

配置互联网边界防火墙策略前,请确认互联网边界防火墙开关已开启,否则策略将不生效。详细内容,请参见开启或关闭互联网边界防火墙

背景信息

互联网边界防火墙支持对内对外(内网访问外部互联网)和外对内(外部互联网访问您的内部网络)流量进行访问控制,并提供策略导出功能。

互联网边界防火墙支持IPv4访问控制策略(表示策略中的访问源IP、目的IP使用IPv4格式)和IPv6访问控制策略,云防火墙各版本对该功能支持的情况不同。详细内容,请参见功能特性

使用限制

互联网边界防火墙访问控制策略数量存在以下限制:
  • 高级版:不超过4,000条。
  • 企业版:不超过10,000条。
  • 旗舰版:不超过20,000条(可提交工单申请扩展)。
  • 内对外目的类型域名,且应用不为HTTPHTTPSSMTPSMTPSSSL的策略:不超过200条。
注意 策略数计算公式为:访问源地址段个数*目的地址段个数或区域个数*端口个数。例如:某个策略中源类型目的类型端口类型分别选择了IPIP端口,表示该策略的访问源目的端口都是单个,则计算为1条策略;如果源类型目的类型端口类型选择了地址簿且地址簿中的IP或者端口存在多个时,该策略计算为多条策略。

内对外流量访问控制

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制 > 访问控制
  3. 访问控制页面,单击互联网边界防火墙页签,然后在页面下方,单击内对外页签。
  4. 内对外页签,单击创建策略
    创建策略
  5. 创建内-外策略对话框中,按照以下步骤新增访问控制策略。
    1. 创建第一条内对外策略,先对可信的源IP进行放行
      1. 请参照下表,完成参数配置。
        参数名称 参数配置说明
        源类型 选择访问源的类型。可选项:
        • IP:仅支持单个IP地址段。
        • 地址簿:您预先配置的IP地址簿,是多个IP地址段的组合,便于您在配置策略时对多个IP地址进行管控。
        访问源 设置访问流量的来源地址:
        • 选择IP作为源类型时,该访问源一定要设置成网段。每条策略只支持配置一个网段。
        • 选择地址簿作为源类型时,您可单击指定地址簿右侧的选择按钮,选择该IP地址簿作为访问源
          说明 每次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
        目的类型
        访问流量的目的地址类型。可选择IP地址簿域名区域
        说明 目的区域已支持中国全部地域,以及全部国际区域。
        目的 设置接收流量的目的地址。
        • 目的类型选择IP时,该目的地址一定要设置成网段。每条策略只支持配置一个网段。
        • 目的类型选择地址簿时,您可单击指定地址簿右侧的选择按钮,选择该地址簿作为目的
          说明 每次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
        • 目的类型选择域名时,云防火墙将自动为您解析该域名地址,并对该解析到的地址进行访问控制。详细介绍,请参见DNS域名解析地址访问控制策略
        • 目的类型选择区域时,请您选择流量的目的地址所在的区域。可选中国区域或国际区域。
        协议类型 设置该内到外访问流量的协议类型。当前支持配置的协议类型有:TCPUDPICMPANY。不确定具体协议类型时可选择ANY
        端口类型 您可以选择以下端口地址类型:
        • 端口:只支持设置单个端口范围。
        • 地址簿:是指您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。
        端口 设置需要放开或限制的端口。可根据端口类型的配置项,手动输入单个端口范围,或者单击选择,从地址簿中选择预先配置的端口地址簿
        说明 每次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
        应用 设置该内到外访问流量的应用类型。

        支持多种应用类型,具体应用类型请参见云防火墙控制台的互联网边界防火墙页面。

        协议类型选择TCP时,您可以选择任意应用类型;如选择其他类型协议,应用类型只能设置为ANY

        目的使用域名地址簿或泛域名时,您只能选择HTTP、HTTPS、SMTP、SMTPS或SSL。

        说明 识别应用依赖应用报文特征(协议识别不依据端口),应用识别失败时,该会话流量会被放行。如果您想拦截未知应用类型的流量,建议您开启互联网边界防火墙严格模式。更多信息,请参见互联网边界防火墙-严格模式
        动作 设置允许或拒绝该流量通过互联网边界防火墙。本示例中选择放行
        • 放行:允许访问。
        • 拒绝:禁止访问,并且不会提供任何形式的通知信息。
        • 观察:设置为观察模式后仍允许源到目的的访问。观察一段时间后,您可根据需要调整为放行拒绝
        描述 输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
        优先级 选择该策略的优先级,默认为最后,表示优先级最低。
        • 最后:指访问控制策略生效的优先级最低,最后生效。
        • 最前:指访问控制策略生效的优先级最高,最先生效。
      2. 单击确认,完成访问控制策略的创建。
        注意 最新创建的策略会展示在访问控制策略列表最后一页的最后一行中。
    2. 创建第二条内对外访问控制策略,拒绝所有访问源访问外部互联网。

      访问源地址设置为0.0.0.0/0,动作设置为拒绝,禁止所有未授权的访问。其他访问控制参数配置可参见上一步。

    3. 确定第一条可信源放行策略的优先级高于第二条拒绝策略的优先级。

外对内流量访问控制

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制 > 访问控制
  3. 访问控制页面,单击互联网边界防火墙页签,然后在页面下方,单击外对内页签。
  4. 外对内页签,单击创建策略
    外对内新增策略
  5. 创建外-内策略对话框中,创建第一条外对内访问控制策略,先对可信的外部源IP进行放行

    访问源设置为可信的IP地址段或选择预先配置的可信IP地址簿动作设置为放行。其他访问控制参数配置,请参见内对外流量访问控制中的配置。

    说明 外对内流量的访问控制策略中,如果源类型目的类型选择了地址簿,那么访问源目的可选择IPv4地址簿或云地址簿类型。
  6. 创建第二条外对内访问控制策略,拒绝所有访问源访问内部网络。

    访问源地址设置为0.0.0.0/0,动作设置为拒绝,禁止所有未授权的访问。

  7. 确定第一条可信源放行策略的优先级高于第二条所有访问源拒绝策略的优先级。

互联网边界防火墙外对内访问控制策略配置视频教程

导出策略

互联网边界防火墙支持策略导出,您可以根据需要导出外对内策略或内对外策略。导出策略

根据策略ID搜索具体策略

互联网边界防火墙访问控制策略提供策略ID,您可以使用策略ID快速定位到具体的访问控制策略,及时了解策略状态和对策略进行调整。

您可以在互联网边界防火墙列表中,将鼠标移至描述/策略ID列的策略显示图标图标上,查看该策略的ID。查看策略ID

查看是否有访问流量命中控制策略

访问控制策略配置完成后,默认情况下策略立即生效。但如果策略参数配置不正确,或者互联网边界防火墙未打开,可能会导致您的策略配置不生效。

您可以在访问控制策略列表中定位到该新增的策略,如果命中次数栏有显示对应的命中次数,表示已有访问流量命中该策略。命中次数是创建策略后,访问流量命中该策略的累计次数。命中次数
您还可以单击命中次数,跳转到流量日志页面。流量日志页面规则名一栏会显示出该流量命中的访问控制策略的名称。
说明 流量日志仅展示最近7天内的流量信息。如果访问控制策略有命中次数,但命中策略是发生在7天前,流量日志列表中的数据将会为空。

相关操作

创建策略后,您可以在访问控制策略列表中,对该策略进行修改、删除、复制或移动(移动即修改策略的优先级)。
警告 删除策略后,该策略管控的流量将不受云防火墙的访问控制。请谨慎删除。