本文档介绍了VPC边界防火墙的访问控制操作。云防火墙支持对VPC边界防火墙的访问控制。VPC边界防火墙可用于检测和控制两个VPC间的通信流量。

前提条件

VPC边界防火墙默认不存在。因此在创建VPC访问控制策略前,您需要先创建并开启相应的VPC边界防火墙。

VPC边界防火墙开关开启后,访问控制策略才能生效。VPC边界防火墙

访问控制策略配置原理

VPC边界防火墙默认放行所有流量,在对两个VPC之间的流量进行管控时,您需要对可疑流量或恶意流量进行拒绝;或者先对可信流量进行放行,再拒绝其他任意地址的访问。

操作步骤

  1. 登录云防火墙控制台
  2. 在左侧导航栏单击安全策略 > 访问控制
  3. VPC边界防火墙页签,单击新增策略新增策略
  4. 新增VPC边界防火墙策略对话框中,配置访问控制策略。访问控制策略配置项详细说明,请参见配置项说明表新增VPC边界防火墙策略
    您可根据实际业务的需要,选择合适的VPC边界防火墙策略配置:
    • 对可疑流量或恶意流量拒绝放行。
    • 先创建可信流量的放行策略,再创建一条拒绝其他所有访问的策略。策略配置完成后,确认放行策略的优先级高于拒绝策略的优先级。有关优先级的详细内容,请参见设置和修改访问控制策略的优先级
    说明 VPC边界防火墙默认对所有地址放行。

配置项说明表

规则参数 参数选项说明
源类型 访问源地址的类型,可选择IP地址簿类型。
  • IP地址访问源地址类型为IP地址,需手动输入IP地址段。
  • 地址簿访问源地址类型为地址薄,需从预先设置的地址簿列表中选择一个地址簿。
    说明 您可以将多个IP设置成一个地址簿,方便您在配置访问控制规则时简化规则。
访问源 发送流量的IP/CIDR地址。
说明 访问源只支持配置一个网段,例如:1.1.1.1/32。
如果源类型选择的是地址簿,需要从地址簿列表中选择一个地址簿作为访问源。
说明 您1次只能选择1个地址薄,如果需要使用多个地址薄,您可以通过新增策略来添加。
目的类型 您可以选择以下目的地址类型:
  • IP地址:目的地址设置为IP地址。
  • 地址簿:目的地址设置为地址薄。
  • 域名:目的地址设置为域名。支持设置为泛域名,例如:*.aliyun.com
    说明 对于HTTP Header中没有Host字段或HTTPS请求没有SNI的流量默认放行
目的 设置接收流量的目的地址。
  • 选择IP作为目的类型时,该目的地址一定要设置成网段,例如:1.1.1.1/32。
  • 选择地址簿作为目的类型时,您可单击指定地址薄操作栏的选择按钮,选择该IP地址簿作为目的
    说明 您1次只能选择1个地址薄,如果需要使用多个地址薄,您可以通过新增策略来添加。
  • 选择域名作为目的类型时,可以配置为域名或泛域名,例如:*.aliyun.com
协议类型 您可选择以下协议:
  • ANY(任何协议)
  • TCP协议
  • UDP协议
  • ICMP协议
端口类型 可选择端口地址簿
  • 端口:仅支持一个端口范围。
  • 地址簿:是指您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。
端口 设置需要放开或限制的端口。可根据端口类型的配置项,手动输入单个端口号,或者单击选择,从地址薄中选择预先配置的端口地址簿
说明
  • 您1次只能选择1个地址薄,如果需要使用多个地址薄,您可以通过新增策略来添加。
  • 协议选择为ICMP,目的端口配置不生效。协议选择为ANY,对于ICMP流量做访问控制,目的端口配置不生效。
应用 当前支持配置的应用:ANY、HTTP、HTTPS、Memcache、MongoDB、MQTT、MySQL、RDP、Redis、SMTP、SMTPS、SSH和VNC。

协议选择TCP时,支持配置不同的应用类型;如选择其他类型协议,应用类型只能设置为ANY

说明 识别应用依赖应用报文的特征(协议识别不依据端口);应用识别失败时,该会话流量会被放行
动作 允许或拒绝该流量通过VPC边界防火墙。 支持选择以下动作:
  • 放行:允许访问。
  • 拒绝:禁止访问,并且不会提供任何形式的通知信息。
  • 观察:设置为观察模式后仍允许源到目的的访问。观察一段时间后可根据需要调整为放行拒绝
描述 对访问控制策略进行描述或备注。输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
优先级 设置访问控制策略的优先级。默认优先级为最后。 支持选择以下优先级:
  • 最后:指访问控制策略生效的顺序最低,最后生效。
  • 最前:指访问控制策略生效的顺序最高,最先生效。