本文档介绍了VPC边界防火墙的访问控制操作。云防火墙支持对VPC边界防火墙的访问控制。VPC边界防火墙可用于检测和控制两个VPC间的通信流量。

前提条件

VPC边界防火墙默认不存在。因此在创建VPC访问控制策略前,需先创建并开启相应的VPC边界防火墙。

VPC边界防火墙开关开启后,访问控制策略才能生效。VPC边界防火墙

访问控制策略配置原理

VPC边界防火墙默认放行所有流量,您在对VPC间流量进行管控时,需要对不可信的流量进行拒绝;或者先对可信源进行放通,再拒绝其他任意地址的访问。

操作步骤

  1. 登录云防火墙控制台
  2. 在左侧导航栏,单击安全策略 > 访问控制VPC访问控制
  3. VPC边界防火墙页签,单击新增策略新增策略
  4. 新增VPC边界防火墙策略对话框中,配置访问控制策略。访问控制策略配置项详细说明,请参见配置项说明表新增VPC边界防火墙策略
    您可根据您的业务需要,选择适合的VPC边界防火墙策略配置方式。
    • 对非可信流量拒绝通过。
    • 先创建对可信源进行放行的策略,再创建一条拒绝其他所有访问的策略。策略配置完成后,确认放行策略的优先级高于拒绝策略的优先级。有关优先级的详细内容,请参见设置/修改访问控制策略的优先级
    说明 VPC边界防火墙默认对所有地址放通。

配置项说明表

规则参数 参数选项说明
源类型 访问源地址的类型,可选择IP地址簿类型。
  • IP地址访问源地址类型为IP地址,需手动输入IP地址段。
  • 地址簿访问源设置需从您预先配置的址簿中选择。
    说明 您可以将多个IP设置成一个地址簿,方便您在配置访问控制规则时简化规则配置。
访问源 发送流量的IP/CIDR地址。
说明 访问源只支持配置一个网段,例如:1.1.1.1/32。

如果源类型选择的是地址簿,需要从地址簿列表中选择一个地址簿作为访问源。

目的类型
  • IP地址:访问目的设置为IP地址。
  • 地址簿:访问目的从地址簿中选择一组IP地址。
  • 域名:策略目的设置为某一个域名。域名配置支持泛域名,例如:*.aliyun.com
    说明 对于HTTP Header中没有Host字段或HTTPS请求没有SNI的流量默认放行
目的 访问目的需要设置为网段;只可配置一个网段。

如果目的类型选择的是域名,可以配置为域名或泛域名,例如:*.aliyun.com
协议类型
  • ANY:任何协议。
  • TCP协议。
  • UDP协议。
  • ICMP协议。
端口类型 可选择端口地址簿
  • 端口:仅支持一个端口范围。
  • 地址簿:是指您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。
端口 支持配置端口范围;0/0代表任意端口。
说明 协议选择为ICMP,目的端口配置不生效。协议选择为ANY,对于ICMP流量做访问控制,目的端口配置不生效。
应用 当前支持配置的应用有:ANY、HTTP、HTTPS、Mamcache、MongoDB、MQTT、MySQL、RDP、Redis、SMTP、SMTPS、SSH和VNC。

协议选择TCP时,支持配置不同的应用类型;如选择其他类型协议,应用类型只能设置为ANY

说明 识别应用依赖应用报文的特征(协议识别不依据端口);应用识别失败时,该会话流量会被放行
动作 允许或拒绝该流量通过互联网边界防火墙。
  • 放行:允许访问。
  • 拒绝:禁止访问,并且不会提供任何形式的通知信息。
  • 观察:设置为观察模式后仍允许源到目的的访问。观察一段时间后可根据需要调整为放行拒绝
描述 对访问控制策略进行描述或备注。输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
优先级 设置访问控制策略的优先级。默认优先级为最后
  • 最后:指访问控制策略生效的顺序最低,最后生效。
  • 最前:指访问控制策略生效的顺序最高,最先生效。