互联网边界防火墙（内外双向流量）

背景信息

互联网边界防火墙支持对内对外（内网访问外部互联网）和外对内（外部互联网访问您的内部网络）流量进行访问控制，并提供策略导出功能。

内对外流量访问控制

登录云防火墙控制台。
在左侧导航栏，单击安全策略 > 访问控制。
在互联网边界防火墙页面，单击内对外页签。
在内对外页签中，单击创建策略。

在创建内-外策略对话框中，按照以下步骤新增访问控制策略。

创建第一条内对外策略，先对可信的源IP进行放行。

参考表格中的配置说明配置规则参数。有关规则配置的详细解释，请参见访问控制策略参数表。


参数名称	参数配置说明
源类型	可选择IP或地址簿。 IP：仅支持单个IP地址段。地址簿：是您预先配置的IP地址簿，是多个IP地址段的组合，便于您在配置策略时对多个IP地址进行管控。
访问源	设置访问流量的来源地址（公网IP）。选择IP作为源类型时，该访问源一定要设置成网段，例如：1.1.1.1/32。每条策略只支持配置一个网段。选择地址簿作为源类型时，您可单击指定地址薄右侧的选择按钮，选择该IP地址簿作为访问源。说明您1次只能选择1个地址薄，如果需要使用多个地址薄，您可以通过新增策略来添加。
目的类型	可选择IP、地址簿、域名或区域。说明目的区域已支持中国全部区域（中国23个省、4个直辖市、5个自治区以及2个特别行政区），以及全部国际区域（全球7个洲）。
目的	设置接收流量的目的地址。选择IP作为目的类型时，该目的地址一定要设置成网段，例如：1.1.1.1/32。每条策略只支持配置一个网段。选择地址簿作为目的类型时，您可单击指定地址薄右侧的选择按钮，选择该IP地址簿作为目的。说明您1次只能选择1个地址薄，如果需要使用多个地址薄，您可以通过新增策略来添加。选择域名作为目的类型时，云防火墙将自动为您解析该域名地址，并对该解析到的地址进行访问控制。详细介绍，请参见DNS域名解析地址访问控制策略。选择区域作为目的类型时，请您选择目的所在的区域。
协议类型	设置该内到外访问流量的协议类型，可选择TCP、UDP、ICMP或ANY。不确定具体协议类型时可选择ANY。
端口类型	可选择端口或地址簿。端口：仅支持一个端口范围。地址簿：是指您预先配置的端口地址簿，是多个端口的组合，便于您在策略配置时对多个端口进行限制。
端口	设置需要放开或限制的端口。可根据端口类型的配置项，手动输入单个端口号，或者单击选择，从地址薄中选择预先配置的端口地址簿。说明您1次只能选择1个地址薄，如果需要使用多个地址薄，您可以通过新增策略来添加。
应用	设置该内到外访问流量的应用类型。说明目的类型选择域名时，应用可选择HTTP、HTTPS、SMTP或SMTPS。
动作	设置允许或拒绝该流量通过互联网边界防火墙。本操作步骤中选择放行。
描述	输入该策略的备注内容，便于您后续查看时能快速区分每条策略的目的。
优先级	选择该策略的优先级，默认为最后。

单击提交完成访问控制策略的创建。

说明最新创建的策略会展示在访问控制策略列表最后一页的最后一行中。

创建第二条内对外访问控制策略，拒绝其它所有访问源去访问外部互联网。
将访问源地址设置为0.0.0.0/0，动作设置为拒绝，禁止所有未授权的访问。其他访问控制参数配置可参见上一步。
确定第一条可信源放行策略的优先级高于第二条所有访问源拒绝策略的优先级。

说明默认情况下，云防火墙按照访问控制策略创建的先后顺序为策略分配优先级，新创建策略的优先级低于已有策略的优先级。有关策略优先级的详细内容，请参见设置和修改访问控制策略的优先级。

有关策略配置参数的详细说明，参见访问控制策略参数表。

外对内流量访问控制

登录云防火墙控制台。
在左侧导航栏，单击安全策略 > 访问控制。
在互联网边界防火墙 > 外对内页签中，单击新增策略。
在新增外-内策略对话框中创建第一条外对内访问控制策略，先对可信的外部源IP进行放行。

访问源设置为可信的IP地址段或选择预先配置的可信IP地址簿，动作设置为放行。其他访问控制参数配置请参见内对外流量访问控制中的配置。

说明外对内流量的访问控制策略中，如果源类型选择了地址簿，那么访问源可选择IP地址簿或云地址簿类型，目的地址簿仅可选择IP地址簿类型。
创建第二条外对内访问控制策略，拒绝其它所有访问源去访问内部网络。

将访问源地址设置为0.0.0.0/0，动作设置为拒绝，禁止所有未授权的访问。
确定第一条可信源放行策略的优先级高于第二条所有访问源拒绝策略的优先级。

导出策略

互联网边界防火墙支持策略导出，您可以根据需要导出外对内策略或内对外策略。导出策略

根据策略ID搜索具体策略

互联网边界防火墙访问控制策略提供策略ID，您可以使用策略ID快速定位到具体的访问控制策略，及时了解策略状态和对策略进行调整。

您可以在互联网边界防火墙列表中，将鼠标移至描述/策略ID列的策略显示图标

图标上，查看到该策略的ID。查看策略ID

查看是否有访问流量命中控制策略

访问控制策略配置完成后，默认情况下策略立即生效。但如果策略参数配置不正确，或者互联网边界防火墙未打开，可能会导致您的策略配置不生效。

您可以在访问控制策略列表中定位到该新增的策略，如果命中次数栏有显示对应的命中次数，表示已有访问流量命中该策略。命中次数是创建策略后，访问流量命中该策略的累计次数。

您还可以单击命中次数，跳转到流量日志页面。流量日志页面规则名一栏会显示出该流量命中的访问控制策略的名称。

说明流量日志仅展示最近7天内的流量信息。也就是说，访问控制策略有命中次数，但如果命中策略是发生在7天前，那么，流量日志列表中的数据将会为空。

访问控制策略参数表


参数名称	参数配置说明
源类型	访问源地址的类型。取值： IP地址：访问源地址类型为IP地址，需手动输入IP地址段。地址簿：访问源设置需从您预先配置的地址簿中选择。说明您可以将多个IP地址设置成一个地址簿，方便您在配置访问控制规则时简化规则配置。
访问源	发送流量的IP/CIDR地址。说明访问源只支持配置一个网段，例如：1.1.1.1/32。如果源类型选择的是地址簿，需要从地址簿列表中选择一个地址簿作为访问源。说明内对外流量：源类型只可选择IP地址簿类型，目的地址簿可选择IP地址簿、域名地址簿或云地址簿类型。外对内流量：源类型可以选择IP地址簿或云地址簿类型，目的地址簿仅可选择IP地址簿类型。您1次只能选择1个地址薄，如果需要使用多个地址薄，您可以通过新增策略来添加。
目的类型	您可以选择以下目的类型： IP地址：访问目的设置为IP地址。地址簿：访问目的从地址簿中选择IP地址簿、域名地址簿或云地址簿。域名：策略目的设置为某一个域名。域名配置支持泛域名，如`*.aliyun.com`。说明对于HTTP Header中没有Host字段或HTTPS请求没有SNI的流量默认放行。区域：访问目的从列表中选择一个区域。可选中国区域或国际区域。
目的	访问目的需要设置为网段；只可配置一个网段。如果目的类型选择的是域名，可以配置为域名或泛域名。说明内对外流量：访问源如果选择地址簿，只可选择IP地址簿类型；目的地址簿可选择IP地址簿、域名地址簿或云地址簿类型。外对内流量：源类型可选择IP地址簿或云地址簿类型，目的地址簿仅可选择IP地址簿类型。您1次只能选择1个地址薄，如果需要使用多个地址薄，您可以通过新增策略来添加。
协议类型	您可选择以下协议： ANY（任何协议） TCP协议 UDP协议 ICMP协议
端口类型	您可以选择以下端口类型：端口：仅支持一个端口范围。地址簿：是您预先配置的端口地址簿，是多个端口的组合，便于您在策略配置时对多个端口进行限制。
端口	设置需要放开或限制的端口。可根据端口类型的配置项，手动输入单个端口号，或者单击选择，从地址薄中选择预先配置的端口地址簿。说明您1次只能选择1个地址薄，如果需要使用多个地址薄，您可以通过新增策略来添加。协议选择为ICMP，目的端口配置不生效。协议选择为ANY，对于ICMP流量做访问控制，目的端口配置不生效。
应用	当前支持配置的应用类型有：ANY、HTTP、HTTPS、Memcache、MongoDB、MQTT、MySQL、RDP、Redis、SMTP、SMTPS、SSH和VNC。协议选择TCP时，您可以选择以上任意应用类型；如选择其他类型协议，应用类型只能设置为ANY。说明识别应用依赖应用报文特征（协议识别不依据端口），应用识别失败时，该会话流量会被放行。如果您想拦截未知应用类型的流量，建议您开启互联网边界防火墙严格模式。更多信息，请参见互联网边界防火墙-严格模式。
动作	允许或拒绝该流量通过互联网边界防火墙。取值：放行：允许访问。拒绝：禁止访问，并且不会提供任何形式的通知信息。观察：设置为观察模式后仍允许源到目的的访问。观察一段时间后，您可根据需要调整为放行或拒绝。
描述	对访问控制策略进行描述或备注。输入该策略的备注内容，便于您后续查看时能快速区分每条策略的目的。
优先级	设置访问控制策略的优先级。取值：最后：指访问控制策略生效的顺序最低，最后生效。最前：指访问控制策略生效的顺序最高，最先生效。默认优先级为最后。

前提条件