全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网

主机访问控制

更新时间:2017-06-29 15:57:17

主机访问控制功能运行在Aliyundun进程中,当前支持TCP、UDP以及HTTP协议的自定义访问控制。

  • 首次添加服务器到策略组,由于防火墙模块安装需要大概3-5分钟,若显示防护失败,请多重试几次。

支持系统

  • 支持系统: CentOS 6.x、CentOS7.0、Windows 2008
  • 不支持系统:Windows2003以及其余未提及的linux系统

应用场景

  • 四层防护: 针对服务器的 ip、端口、协议 访问控制策略,类似于iptables
  • 七层防护(HTTP精准策略): web应用防护,专门针对http/https进行防护,可以针对具体的某个web页面设置防护策略

资源占用

  • 内存:运行时可能会消耗您几M物理内存(一般在6M左右,不会大于10M)。
  • CPU:以双核ecs为例,在10MBit/s流量下(满负荷),会消耗8%左右的cpu值。

实现原理

使用了内核技术,接管了一部分网络协议栈的工作,所以当您看到Aliyundun这个进程使用了较大cpu的时候,是因为原来网络协议栈这部分工作内容转嫁到Aliyundun 中,Aliyundun 承担了这部分工作内容而造成了额外的cpu消耗,但是实际上总体性能消耗并没有额外的增加(实际消耗8%左右)

访问控制模块使用内核技术在本机上实现了透明代理,无需重启服务器和web服务,无需修改任何参数和配置,即可使用,即插即用,并支持防御策略的实时热更新。

匹配顺序

超级白名单 > 超级黑名单 > 自定义策略 > 云盾协同防御策略 > 默认策略

支持内容

  • TCP、UDP:入方向
    • 允许所有IP访问:即对所有外部过来访问该服务器指定端口的IP均放行
    • 不允许所有IP访问:即对所有外部过来访问该服务器指定端口的IP均拦截
    • 只允许特定IP访问:该端口只开放给特定IP来访问,其余过来访问的IP均拦截
    • 不允许特定IP访问:该端口只对某些IP拦截,其余IP过来访问均放行
    • 超级白名单:超级白名单中的IP,不区分端口,所有请求均放行
    • 超级黑名单:超级黑名单中的IP,不区分端口,所有请求均拦截
    • 默认规则:即匹配完所有策略后,若未命中任何一条策略采取的动作
  • TCP、UDP:出方向
    • 允许主动对外访问所有服务器该端口:即该台服务器允许主动外连所有服务器的指定端口(如需设置该台服务器需要上所有的http web网站,则设置:允许主动对外访问所有服务器的 80 端口)
    • 不允许主动对外访问所有服务器该端口:即该台服务器不允许主动外连其他服务器的指定端口
    • 不允许对外访问以下服务器的该端口:即不允许对特定服务器的特定端口进行访问,其余对外请求特定端口均放过
    • 只允许对外访问以下服务器的该端口:即只对访问特定服务器的特定端口进行放行,其余对外访问特定端口的请求均拦截
    • 默认规则:即匹配完所有策略后,若未命中任何一条策略采取的动作
  • HTTP精准策略:对协议为http且开启精准策略开关的端口,才会生效http策略

    • 访问控制支持全部method:get,head,trace,delete,options,lock,mkcol,copy,move,post,put
    • 支持大多数header:cookie,host,from,referer,expect,te,content-type,user-agent,accept,accept-encoding,accept-charset,accept-language,authorization,proxy-authorization,x-forwarded-for,x-remote-ip,max-forwards,range,if-range,if-match,if-none-match,if-modified-since,if-unmodified-since,request_uri,uri_dir,uri_file
    • 支持字符串搜索和正则两种匹配算法

操作步骤

  1. 新建主机访问策略组。

    新建

  2. 配置端口和详细访问规则。

    1

  3. 选择需要生效的服务器。

    生效服务器

  4. 查看拦截日志。

本文导读目录