互联网边界防火墙支持对Web资产的出、入流量进行访问控制。您可在云防火墙中配置访问控制策略,限制Web资产和互联网之间的未授权访问。

前提条件

配置互联网边界防火墙策略前,请您确认互联网边界防火墙开关已开启,否则策略将不生效。详细内容,请参见开启或关闭互联网边界防火墙互联网边界防火墙

背景信息

互联网边界防火墙支持对内对外(内网访问外部互联网)和外对内(外部互联网访问您的内部网络)流量进行访问控制,并提供策略导出功能。

互联网边界防火墙支持IPv4访问控制策略(表示策略中的访问源IP、目的IP使用IPv4格式)和IPv6访问控制策略,云防火墙各版本对该功能支持的情况不同。详细的版本差异,请参见功能特性

内对外流量访问控制

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制 > 访问控制
  3. 访问控制页面,单击互联网边界防火墙页签,然后在页面下方,单击内对外页签。
  4. 内对外页签,单击创建策略
    创建策略
  5. 创建内-外策略对话框中,按照以下步骤新增访问控制策略。
    1. 创建第一条内对外策略,先对可信的源IP进行放行
      1. 请参照下表,完成参数配置。详细的参数说明,请参见访问控制策略参数表
        参数名称 参数配置说明
        源类型 可选择IP地址薄
        • IP:仅支持单个IP地址段。
        • 地址簿:是您预先配置的IP地址簿,是多个IP地址段的组合,便于您在配置策略时对多个IP地址进行管控。
        访问源 设置访问流量的来源地址(公网IP)。
        • 选择IP作为源类型时,该访问源一定要设置成网段,例如:192.0.2.0/32。每条策略只支持配置一个网段。
        • 选择地址簿作为源类型时,您可单击指定地址薄右侧的选择按钮,选择该IP地址簿作为访问源
          说明 您1次只能选择1个地址薄,如果需要使用多个地址薄,您可以通过新增策略来添加。
        目的类型
        可选择IP地址簿域名区域
        说明 目的区域已支持中国全部地域,以及全部国际区域。
        目的 设置接收流量的目的地址。
        • 选择IP作为目的类型时,该目的地址一定要设置成网段,例如:192.0.2.0/32。每条策略只支持配置一个网段。
        • 选择地址簿作为目的类型时,您可单击指定地址薄右侧的选择按钮,选择该IP地址簿作为目的
          说明 您1次只能选择1个地址薄,如果需要使用多个地址薄,您可以通过新增策略来添加。
        • 选择域名作为目的类型时,云防火墙将自动为您解析该域名地址,并对该解析到的地址进行访问控制。详细介绍,请参见DNS域名解析地址访问控制策略
        • 选择区域作为目的类型时,请您选择目的所在的区域。
        协议类型 设置该内到外访问流量的协议类型。当前支持配置的协议类型有:TCPUDPICMPANY。不确定具体协议类型时可选择ANY
        端口类型 可选择端口地址薄
        • 端口:仅支持一个端口范围。
        • 地址簿:是指您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。
        端口 设置需要放开或限制的端口。可根据端口类型的配置项,手动输入单个端口号,或者单击选择,从地址薄中选择预先配置的端口地址簿
        说明 您1次只能选择1个地址薄,如果需要使用多个地址薄,您可以通过新增策略来添加。
        应用 设置该内到外访问流量的应用类型。

        当前支持配置的应用类型有:ANYHTTPHTTPSMemcacheMongoDBMQTTMySQLRDPRedisSMTPSMTPSSSHVNC

        协议选择TCP时,您可以选择以上任意应用类型;如选择其他类型协议,应用类型只能设置为ANY

        动作 设置允许或拒绝该流量通过互联网边界防火墙。本操作步骤中选择放行
        描述 输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
        优先级 选择该策略的优先级,默认为最后,表示优先级最低。
      2. 单击提交,完成访问控制策略的创建。
        说明 最新创建的策略会展示在访问控制策略列表最后一页的最后一行中。
    2. 创建第二条内对外访问控制策略,拒绝其他所有访问源去访问外部互联网。

      访问源地址设置为0.0.0.0/0,动作设置为拒绝,禁止所有未授权的访问。其他访问控制参数配置可参见上一步。

    3. 确定第一条可信源放行策略的优先级高于第二条所有访问源拒绝策略的优先级。
      说明 默认情况下,云防火墙按照访问控制策略创建的先后顺序为策略分配优先级,新建策略时选择最前,则新策略优先级最高。有关策略优先级的详细内容,请参见设置和修改访问控制策略的优先级
      新增内-外策略

外对内流量访问控制

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制 > 访问控制
  3. 访问控制页面,单击互联网边界防火墙页签,然后在页面下方,单击外对内页签。
  4. 外对内页签,单击创建策略
    外对内新增策略
  5. 创建外-内策略对话框中,创建第一条外对内访问控制策略,先对可信的外部源IP进行放行

    访问源设置为可信的IP地址段或选择预先配置的可信IP地址薄动作设置为放行。其他访问控制参数配置,请参见内对外流量访问控制中的配置。

    说明 外对内流量的访问控制策略中,如果源类型选择了地址薄,那么访问源可选择IP地址簿或云地址簿类型,目的地址簿仅可选择IP地址簿类型。
  6. 创建第二条外对内访问控制策略,拒绝其他所有访问源去访问内部网络。

    访问源地址设置为0.0.0.0/0,动作设置为拒绝,禁止所有未授权的访问。

  7. 确定第一条可信源放行策略的优先级高于第二条所有访问源拒绝策略的优先级。

互联网边界防火墙外对内访问控制策略配置视频教程

导出策略

互联网边界防火墙支持策略导出,您可以根据需要导出外对内策略或内对外策略。导出策略

根据策略ID搜索具体策略

互联网边界防火墙访问控制策略提供策略ID,您可以使用策略ID快速定位到具体的访问控制策略,及时了解策略状态和对策略进行调整。

您可以在互联网边界防火墙列表中,将鼠标移至描述/策略ID列的策略显示图标图标上,查看该策略的ID。查看策略ID

查看是否有访问流量命中控制策略

访问控制策略配置完成后,默认情况下策略立即生效。但如果策略参数配置不正确,或者互联网边界防火墙未打开,可能会导致您的策略配置不生效。

您可以在访问控制策略列表中定位到该新增的策略,如果命中次数栏有显示对应的命中次数,表示已有访问流量命中该策略。命中次数是创建策略后,访问流量命中该策略的累计次数。命中次数
您还可以单击命中次数,跳转到流量日志页面。流量日志页面规则名一栏会显示出该流量命中的访问控制策略的名称。
说明 流量日志仅展示最近7天内的流量信息。如果访问控制策略有命中次数,但命中策略是发生在7天前,流量日志列表中的数据将会为空。

访问控制策略参数表

参数名称 参数配置说明
源类型 访问源地址的类型。取值:
  • IP地址访问源地址类型为IP地址,需手动输入IP地址段。
  • 地址簿访问源设置需从您预先配置的地址簿中选择。
    说明 您可以将多个IP地址设置成一个地址簿,方便您在配置访问控制规则时简化规则配置。
访问源 访问流量的IP或CIDR地址。
说明 访问源只支持配置一个网段,例如:192.0.2.0/32。
如果源类型选择的是地址薄,需要从地址簿列表中选择一个地址簿作为访问源。
说明 您1次只能选择1个地址薄,如果需要使用多个地址薄,您可以通过新增策略来添加。
目的类型 您可以选择以下目的类型:
  • IP地址:访问目的设置为IP地址。
  • 地址簿:访问目的从地址簿中选择IP地址簿、域名地址簿或云地址簿。
  • 域名:策略目的设置为某一个域名。域名配置支持泛域名,如*.aliyun.com
    说明 对于HTTP Header中没有Host字段或HTTPS请求没有SNI的流量默认放行
  • 区域:访问目的从列表中选择一个区域。可选中国区域或国际区域。
目的 访问目的需要设置为网段;只可配置一个网段。

如果目的类型选择的是域名,可以配置为域名或泛域名。

说明
  • 内对外流量:访问源如果选择地址簿,只可选择IP地址簿类型;目的地址簿可选择IP地址簿、域名地址簿或云地址簿类型。
  • 外对内流量:源类型可选择IP地址簿或云地址簿类型,目的地址簿仅可选择IP地址簿类型。
  • 您1次只能选择1个地址薄,如果需要使用多个地址薄,您可以通过新增策略来添加。
协议类型 您可选择以下协议:
  • ANY(任何协议)
  • TCP协议
  • UDP协议
  • ICMP协议
端口类型 您可以选择以下端口类型:
  • 端口:仅支持一个端口范围。
  • 地址簿:是您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。
端口 设置需要放开或限制的端口。可根据端口类型的配置项,手动输入单个端口号,或者单击选择,从地址薄中选择预先配置的端口地址簿
说明
  • 您1次只能选择1个地址薄,如果需要使用多个地址薄,您可以通过新增策略来添加。
  • 协议选择为ICMP,目的端口配置不生效。协议选择为ANY,对于ICMP流量做访问控制,目的端口配置不生效。
应用 当前支持配置的应用类型有:ANYHTTPHTTPSMemcacheMongoDBMQTTMySQLRDPRedisSMTPSMTPSSSHVNC

协议选择TCP时,您可以选择以上任意应用类型;如选择其他类型协议,应用类型只能设置为ANY

说明 识别应用依赖应用报文特征(协议识别不依据端口),应用识别失败时,该会话流量会被放行。如果您想拦截未知应用类型的流量,建议您开启互联网边界防火墙严格模式。更多信息,请参见互联网边界防火墙-严格模式
动作 允许或拒绝该流量通过互联网边界防火墙。 取值:
  • 放行:允许访问。
  • 拒绝:禁止访问,并且不会提供任何形式的通知信息。
  • 观察:设置为观察模式后仍允许源到目的的访问。观察一段时间后,您可根据需要调整为放行拒绝
描述 对访问控制策略进行描述或备注。输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
优先级 设置访问控制策略的优先级。取值:
  • 最后:指访问控制策略生效的顺序最低,最后生效。
  • 最前:指访问控制策略生效的顺序最高,最先生效。

默认优先级为最后

相关操作

创建策略后,您可以在访问控制策略列表中,对该策略进行修改、删除、复制或移动(移动即修改策略的优先级)。
警告 删除策略后,该策略管控的流量将不受云防火墙的访问控制。请谨慎删除。