云防火墙支持对互联网边界防火墙的访问控制。您可在云防火墙中配置访问控制策略,限制主机对内、外双向的未授权访问。

前提条件

配置互联网边界防火墙策略前,请确认需要进行访问控制的实例互联网边界防火墙开关已开启,否则策略将不会生效。
互联网边界防火墙

背景信息

互联网边界防火墙支持内对外(用户内网访问外部互联网)和外对内(外部互联网访问用户的内部网络)流量的访问控制。

内对外流量访问控制

  1. 登录云防火墙控制台
  2. 单击导航栏的安全策略 > 访问控制 > 互联网边界防火墙 > 内对外

    内对外
  3. 内对外tab页面左上角单击新增策略按钮,打开新增内-外策略对话框。

    新增内-外策略
  4. 创建内对外访问控制策略。
    1. 创建第一条内对外策略,先对可信的源IP进行放行
      1. 依照表格中序号配置规则参数。
        序号 参数名称 参数配置
        1 源类型 可选择IP地址簿
        • IP:仅支持单个IP地址段。
        • 地址簿:是您预先配置的IP地址簿,是多个IP地址段的组合,便于您在策略配置时对多个IP地址进行限制。
        2 访问源 设置访问流量的来源地址。本操作步骤中访问源代表允许访问外部互联网的内网IP地址。
        • 选择IP作为源类型时,该访问源一定要设置成网段,如:1.1.1.1/32。
        • 选择地址簿作为源类型时,您可单击从地址簿中选择按钮,选择源IP地址簿作为访问源
        3 目的类型
        可选择IP地址簿域名区域
        说明 目的区域已支持全部国内区域(中国23个省、4个直辖市、5个自治区以及2个特别行政区),以及全部国际区域(全球7个洲)。
        4 目的 设置接收流量的目的地址。本操作步骤中目的代表允许某个内网IP地址访问的外部互联网地址。
        5 协议类型 设置该内到外访问流量的协议类型,可选择TCPUDPICMPANY。不确定具体协议类型时可选择ANY
        6 端口类型 可选择端口地址簿
        • 端口:仅支持一个端口范围。
        • 地址簿:是指您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。
        7 端口 设置需要放开或限制的端口。可根据端口类型的配置项,手动输入单个端口号,或者单击从地址簿中选择,选择预先配置的端口地址簿
        8 应用 设置该内到外访问流量的应用类型。
        说明 目的类型选择域名时,应用可选择HTTPHTTPSSMTPSMTPS
        9 动作 设置允许或拒绝该流量通过互联网边界防火墙。本操作步骤中选择放行
        10 描述 输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
        11 优先级 选择该策略的优先级,默认为最低
      2. 单击提交完成访问控制策略的创建。
        说明 最新创建的策略会展示在访问控制策略列表最后一页的最后一列中。
    2. 创建第二条内对外访问控制策略,拒绝其它所有访问源去访问外部互联网。

      访问源地址设置为0.0.0.0/0动作设置为拒绝,禁止所有未授权的访问。其他访问控制参数配置可参考上一步。

    3. 确定第一条可信源放行策略的优先级高于第二条所有访问源拒绝策略的优先级。
    说明 默认情况下,云防火墙按照访问控制策略创建的先后顺序为策略分配优先级,新创建策略的优先级低于已有策略的优先级。有关策略优先级的详细内容,参见设置/修改访问控制策略的优先级

    有关策略配置参数的详细说明,参见访问控制策略参数表

外对内流量访问控制

  1. 登录云防火墙控制台
  2. 单击导航栏的安全策略 > 访问控制 > 互联网边界防火墙 > 外对内

    外对内
  3. 外对内tab页面左上角单击新增策略按钮,打开新增外-内策略对话框。

    新增外-内策略
  4. 创建第一条外对内访问控制策略,先对可信的外部源IP进行放行

    访问源设置为可信的IP地址段或选择预先配置的可信IP地址簿动作设置为放行。其他访问控制可参考内对外流量访问控制中的配置。

    说明 外对内流量的访问控制策略中,如果源类型选择了地址簿,那么访问源可选择IP地址簿或云地址簿类型;目的地址簿仅可选择IP地址簿类型。
  5. 创建第二条外对内访问控制策略,拒绝其它所有访问源去访问内部网络。

    访问源地址设置为0.0.0.0/0动作设置为拒绝,禁止所有未授权的访问。

  6. 确定第一条可信源放行策略的优先级高于第二条所有访问源拒绝策略的优先级。

查看访问控制策略是否已生效

访问控制策略配置完成后,默认情况下策略立即生效。但如果策略参数配置不当,或者互联网边界防火墙未开,可能会导致您的策略配置不生效。

您可在访问控制策略列表中定位到该新增的策略,并单击命中次数,跳转到流量日志页面,查看策略是否生效。流量日志页面规则名一栏如果显示出该策略的名称,表示该策略已生效。
查看策略
说明 如果删除策略,之前配置的放行/拒绝策略会失效,请谨慎删除。

访问控制策略参数表

规则参数 参数选项说明
源类型 访问源地址的类型,可选择IP地址簿类型。
  • IP地址访问源地址类型为IP地址,需手动输入IP地址段。
  • 地址簿访问源设置需从您预先配置的址簿中选择。

    您可以将多个IP设置成一个地址簿,方便您在配置访问控制规则时简化规则配置。

访问源 发送流量的IP/CIDR地址。
说明 访问源只支持配置一个网段,例如:1.1.1.1/32。
如果源类型选择的是地址簿,需要从地址簿列表中选择一个地址簿作为访问源。
说明
  • 内对外流量:源类型只可选择IP地址簿类型,目的地址簿可选择IP地址簿、域名地址簿或云地址簿类型。
  • 外对内流量:源类型可选择IP地址簿或云地址簿类型,目的地址簿仅可选择IP地址簿类型。
目的类型
  • IP地址:访问目的设置为IP地址。
  • 地址簿:访问目的从地址簿中选择一组IP地址。
  • 域名:策略目的设置为某一个域名。域名配置支持泛域名,如*.aliyun.com
    说明
    • 只有内对外流量策略目的类型支持配置IP地址、域名或区域。
    • 对于HTTP Header中没有Host字段或HTTPS请求没有SNI的流量默认放行
目的 访问目的需要设置为网段;只可配置一个网段。

如果目的类型选择的是域名,可以配置为域名或泛域名。

说明
  • 内对外流量:访问源如果选择地址簿,只可选择IP地址簿类型;目的地址簿可选择IP地址簿、域名地址簿或云地址簿类型。
  • 外对内流量:源类型可选择IP地址簿或云地址簿类型,目的地址簿仅可选择IP地址簿类型。
协议类型
  • ANY:任何协议。
  • TCP协议。
  • UDP协议。
  • ICMP协议。
目的端口 支持配置端口范围;0/0代表任意端口。
说明 协议选择为ICMP,目的端口配置不生效。协议选择为ANY,对于ICMP流量做访问控制,目的端口配置不生效。
应用 当前支持配置的应用有:ANY、HTTP、HTTPS、Mamcache、MongoDB、MQTT、MySQL、RDP、Redis、SMTP、SMTPS、SSH和VNC。

协议选择TCP时,支持配置不同的应用类型;如选择其他类型协议,应用类型只能设置为ANY

说明 识别应用依赖应用报文特征(协议识别不依据端口);应用识别失败时,该会话流量会被放行
动作 允许或拒绝该流量通过互联网边界防火墙。
  • 放行:允许访问。
  • 拒绝:禁止访问,并且不会提供任何形式的通知信息。
  • 观察:设置为观察模式后仍允许源到目的的访问。观察一段时间后可根据需要调整为放行拒绝
描述 对访问控制策略进行描述或备注。输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
优先级 设置访问控制策略的优先级。默认优先级为最低
  • 最低:指访问控制策略生效的顺序最低,最后生效。
  • 最高:指访问控制策略生效的顺序最高,最先生效。