VPC边界防火墙可用于检测和控制两个VPC间的通信流量,默认放行所有流量。在对两个VPC之间的流量管控时,您需要拒绝可疑流量或恶意流量,或者先放行可信流量,再拒绝其他地址的访问。本文介绍如何配置VPC边界防火墙。
前提条件
使用限制
云防火墙企业版和旗舰版支持VPC边界防火墙功能,高级版不支持。不同版本云防火墙实例支持配置的VPC边界防火墙访问控制策略数量有差异。详细信息,请参见云防火墙各版本功能与计费项。
操作步骤
- 登录云防火墙控制台。在左侧导航栏,选择访问控制 > VPC边界防火墙。
- 在VPC边界防火墙页面,单击创建策略。
- 在新增VPC边界防火墙策略对话框,配置访问控制策略。
配置项 说明 源类型 访问源地址的类型。可选值: - IP地址:访问源地址类型为IP地址,需手动输入IP地址段。
- 地址簿:访问源地址类型为地址簿,需从预先设置的地址簿列表中选择一个地址簿。
说明 您可以将多个IP设置成一个地址簿,方便您在配置访问控制规则时简化规则。
访问源 发送流量的源地址。 - 选择IP作为源类型时,该源地址一定要设置成网段。
说明 访问源只支持配置一个网段。
- 选择地址簿作为源类型时,需要从地址簿列表中选择一个地址簿作为访问源。
说明 您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
目的类型 您可以选择以下目的地址类型: - IP地址:目的地址设置为IP地址。
- 地址簿:目的地址设置为地址簿。
- 域名:目的地址设置为域名。支持设置为泛域名,例如:*.aliyun.com。
目的 设置接收流量的目的地址。 - 选择IP作为目的类型时,该目的地址一定要设置成网段。
说明 目的地址只支持配置一个网段。
- 选择地址簿作为目的类型时,您可单击指定地址簿操作栏的选择按钮,选择该IP地址簿作为目的地址。
说明 您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
- 选择域名作为目的类型时,可以配置为域名或泛域名,例如:*.aliyun.com。
协议类型 您可选择以下协议: - ANY(任何协议)
- TCP协议
- UDP协议
- ICMP协议
端口类型 您可以选择以下端口类型: - 端口:只支持设置单个端口。
- 地址簿:是指您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。
端口 设置需要放开或限制的端口。可根据端口类型的配置项,手动输入单个端口,或者单击选择,从地址簿中选择预先配置的端口地址簿。 说明- 您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
- 协议选择为ICMP,目的端口配置不生效。协议选择为ANY,对于ICMP流量做访问控制,目的端口配置不生效。
应用 当前支持配置的应用:ANY、HTTP、HTTPS、Memcache、MongoDB、MQTT、MySQL、RDP、Redis、SMTP、SMTPS、SSH和VNC。 协议选择TCP时,支持配置不同的应用类型;如选择其他类型协议,应用类型只能设置为ANY。
说明 识别应用依赖应用报文的特征(协议识别不依据端口);应用识别失败时,该会话流量会被放行。动作 允许或拒绝该流量通过VPC边界防火墙。 支持选择以下动作: - 放行:表示放行可信流量,允许其访问。
说明 VPC边界防火墙默认对所有地址放行。
- 拒绝:表示阻断可疑或恶意流量,拒绝其访问。并且不会提供任何形式的通知信息。
- 观察:设置为观察模式后仍允许源到目的的访问。观察一段时间后可根据需要调整为放行或拒绝。
描述 对访问控制策略进行描述或备注。输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。 优先级 设置访问控制策略的优先级。默认优先级为最后。支持选择以下优先级: - 最后:指访问控制策略生效的顺序最低,最后生效。
- 最前:指访问控制策略生效的顺序最高,最先生效。
说明 云防火墙策略优先级修改后,该策略原优先级之后的策略优先级都将相应依次递减。 - 单击确定。
相关操作
创建策略后,您可以在访问控制策略列表,对该策略编辑、删除、复制或移动(移动即修改策略的优先级)。优先级修改后,策略原优先级之后的策略优先级都将相应依次递减。
注意 删除策略后,该策略管控的流量将不受云防火墙的访问控制。请谨慎删除。