云防火墙支持对互联网边界防火墙进行访问控制。您可在云防火墙中配置访问控制策略,限制主机对内、外双向流量的未授权访问。

前提条件

配置互联网边界防火墙策略前,请您确认需要进行访问控制实例的互联网边界防火墙开关已开启,否则策略将不会生效。互联网边界防火墙

背景信息

互联网边界防火墙支持内对外(内网访问外部互联网)和外对内(外部互联网访问您的内部网络)流量的访问控制。

内对外流量访问控制

  1. 登录云防火墙控制台
  2. 在左侧导航栏单击安全策略 > 访问控制
  3. 互联网边界防火墙 > 内对外页签下,单击新增策略
    内对外新增策略
  4. 新增内-外策略对话框中,按照以下步骤新增内对外访问控制策略。
    新增内-外策略
    1. 创建第一条内对外策略,先对可信的源IP进行放行
      1. 参考表格中的配置说明配置规则参数。
        参数名称 参数配置说明
        源类型 可选择IP地址簿
        • IP:仅支持单个IP地址段。
        • 地址簿:是您预先配置的IP地址簿,是多个IP地址段的组合,便于您在策略配置时对多个IP地址进行限制。
        访问源 设置访问流量的来源地址(公网IP)。
        • 选择IP作为源类型时,该访问源一定要设置成网段,例如:1.1.1.1/32。
        • 选择地址簿作为源类型时,您可单击指定地址薄操作栏选择按钮,选择该IP地址簿作为访问源
          说明 您1次只能选择1个地址薄,如果需要使用多个地址薄,您可以通过新增策略来添加。
        目的类型
        可选择IP地址簿域名区域
        说明 目的区域已支持中国全部区域(中国23个省、4个直辖市、5个自治区以及2个特别行政区),以及全部国际区域(全球7个洲)。
        目的 设置接收流量的目的地址。
        • 选择IP作为目的类型时,该目的地址一定要设置成网段,例如:1.1.1.1/32。
        • 选择地址簿作为目的类型时,您可单击指定地址薄操作栏选择按钮,选择该IP地址簿作为目的
          说明 您1次只能选择1个地址薄,如果需要使用多个地址薄,您可以通过新增策略来添加。
        • 选择域名作为目的类型时,云防火墙将自动为您解析该域名地址,并对该解析到的地址进行访问控制。
        • 选择区域作为目的类型时,请您选择目的所在的区域。
        协议类型 设置该内到外访问流量的协议类型,可选择TCPUDPICMPANY。不确定具体协议类型时可选择ANY
        端口类型 可选择端口地址簿
        • 端口:仅支持一个端口范围。
        • 地址簿:是指您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。
        端口 设置需要放开或限制的端口。可根据端口类型的配置项,手动输入单个端口号,或者单击选择,从地址薄中选择预先配置的端口地址簿
        说明 您1次只能选择1个地址薄,如果需要使用多个地址薄,您可以通过新增策略来添加。
        应用 设置该内到外访问流量的应用类型。
        说明 目的类型选择域名时,应用可选择HTTPHTTPSSMTPSMTPS
        动作 设置允许或拒绝该流量通过互联网边界防火墙。本操作步骤中选择放行
        描述 输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
        优先级 选择该策略的优先级,默认为最后
      2. 单击提交完成访问控制策略的创建。
        说明 最新创建的策略会展示在访问控制策略列表最后一页的最后一行中。
    2. 创建第二条内对外访问控制策略,拒绝其它所有访问源去访问外部互联网。

      访问源地址设置为0.0.0.0/0动作设置为拒绝,禁止所有未授权的访问。其他访问控制参数配置可参见上一步。

    3. 确定第一条可信源放行策略的优先级高于第二条所有访问源拒绝策略的优先级。
    说明 默认情况下,云防火墙按照访问控制策略创建的先后顺序为策略分配优先级,新创建策略的优先级低于已有策略的优先级。有关策略优先级的详细内容,请参见设置和修改访问控制策略的优先级

    有关策略配置参数的详细说明,参见访问控制策略参数表

外对内流量访问控制

  1. 登录云防火墙控制台
  2. 在左侧导航栏单击安全策略 > 访问控制
  3. 互联网边界防火墙 > 外对内页签中,单击新增策略
    外对内新增策略
  4. 新增外-内策略对话框中创建第一条外对内访问控制策略,先对可信的外部源IP进行放行

    访问源设置为可信的IP地址段或选择预先配置的可信IP地址簿动作设置为放行。其他访问控制参数配置请参见内对外流量访问控制中的配置。

    说明 外对内流量的访问控制策略中,如果源类型选择了地址簿,那么访问源可选择IP地址簿或云地址簿类型,目的地址簿仅可选择IP地址簿类型。
  5. 创建第二条外对内访问控制策略,拒绝其它所有访问源去访问内部网络。

    访问源地址设置为0.0.0.0/0动作设置为拒绝,禁止所有未授权的访问。

  6. 确定第一条可信源放行策略的优先级高于第二条所有访问源拒绝策略的优先级。

查看访问控制策略是否已生效

访问控制策略配置完成后,默认情况下策略立即生效。但如果策略参数配置不正确,或者互联网边界防火墙未打开,可能会导致您的策略配置不生效。

您可在访问控制策略列表中定位到该新增的策略,并单击命中次数,跳转到流量日志页面,查看策略是否生效。流量日志页面规则名一栏如果显示出该策略的名称,表示该策略已生效。查看策略
注意 如果删除访问控制策略,之前配置的放行和拒绝策略会失效,请您谨慎删除。

访问控制策略参数表

参数名称 参数配置说明
源类型 访问源地址的类型。取值:
  • IP地址访问源地址类型为IP地址,需手动输入IP地址段。
  • 地址簿访问源设置需从您预先配置的地址簿中选择。
    说明 您可以将多个IP地址设置成一个地址簿,方便您在配置访问控制规则时简化规则配置。
访问源 发送流量的IP/CIDR地址。
说明 访问源只支持配置一个网段,例如:1.1.1.1/32。
如果源类型选择的是地址簿,需要从地址簿列表中选择一个地址簿作为访问源。
说明
  • 内对外流量:源类型只可选择IP地址簿类型,目的地址簿可选择IP地址簿、域名地址簿或云地址簿类型。
  • 外对内流量:源类型可以选择IP地址簿或云地址簿类型,目的地址簿仅可选择IP地址簿类型。
  • 您1次只能选择1个地址薄,如果需要使用多个地址薄,您可以通过新增策略来添加。
目的类型 您可以选择以下目的类型:
  • IP地址:访问目的设置为IP地址。
  • 地址簿:访问目的从地址簿中选择IP地址簿、域名地址簿或云地址簿。
  • 域名:策略目的设置为某一个域名。域名配置支持泛域名,如*.aliyun.com
    说明 对于HTTP Header中没有Host字段或HTTPS请求没有SNI的流量默认放行
  • 区域:访问目的从列表中选择一个区域。可选中国区域或国际区域。
目的 访问目的需要设置为网段;只可配置一个网段。

如果目的类型选择的是域名,可以配置为域名或泛域名。

说明
  • 内对外流量:访问源如果选择地址簿,只可选择IP地址簿类型;目的地址簿可选择IP地址簿、域名地址簿或云地址簿类型。
  • 外对内流量:源类型可选择IP地址簿或云地址簿类型,目的地址簿仅可选择IP地址簿类型。
  • 您1次只能选择1个地址薄,如果需要使用多个地址薄,您可以通过新增策略来添加。
协议类型 您可选择以下协议:
  • ANY(任何协议)
  • TCP协议
  • UDP协议
  • ICMP协议
端口类型 您可以选择以下端口类型:
  • 端口:仅支持一个端口范围。
  • 地址簿:是您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。
端口 设置需要放开或限制的端口。可根据端口类型的配置项,手动输入单个端口号,或者单击选择,从地址薄中选择预先配置的端口地址簿
说明
  • 您1次只能选择1个地址薄,如果需要使用多个地址薄,您可以通过新增策略来添加。
  • 协议选择为ICMP,目的端口配置不生效。协议选择为ANY,对于ICMP流量做访问控制,目的端口配置不生效。
应用 当前支持配置的应用有:ANY、HTTP、HTTPS、Mamcache、MongoDB、MQTT、MySQL、RDP、Redis、SMTP、SMTPS、SSH和VNC。

协议选择TCP时,支持配置不同的应用类型;如选择其他类型协议,应用类型只能设置为ANY

说明 识别应用依赖应用报文特征(协议识别不依据端口),应用识别失败时,该会话流量会被放行。如果您想拦截未知应用类型的流量,建议您开启互联网边界防火墙严格模式。更多信息,请参见互联网边界防火墙-严格模式
动作 允许或拒绝该流量通过互联网边界防火墙。 取值:
  • 放行:允许访问。
  • 拒绝:禁止访问,并且不会提供任何形式的通知信息。
  • 观察:设置为观察模式后仍允许源到目的的访问。观察一段时间后可根据需要调整为放行拒绝
描述 对访问控制策略进行描述或备注。输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
优先级 设置访问控制策略的优先级。取值:
  • 最后:指访问控制策略生效的顺序最低,最后生效。
  • 最前:指访问控制策略生效的顺序最高,最先生效。

默认优先级为最后