VPC边界防火墙可用于检测和控制两个VPC间的通信流量。您可在云防火墙中配置访问控制策略,限制两个VPC之间的未授权访问。
前提条件
VPC边界防火墙默认不存在。因此在创建VPC访问控制策略前,您需要先创建并开启相应的VPC边界防火墙。
VPC边界防火墙开关开启后,访问控制策略才能生效。
使用限制
云防火墙企业版和旗舰版支持VPC边界防火墙功能,高级版不支持。不同版本云防火墙实例支持配置的VPC边界防火墙访问控制策略数量有以下限制:
- 企业版:最多10,000条。
- 旗舰版:最多20,000条(可提交工单申请扩展)。
访问控制策略配置原理
VPC边界防火墙默认放行所有流量,在对两个VPC之间的流量进行管控时,您需要拒绝可疑流量或恶意流量;或者先放行可信流量,再拒绝其他任意地址的访问。
操作步骤
- 在访问控制页面的VPC边界防火墙页签,单击创建策略。
- 在新增VPC边界防火墙策略对话框中,配置访问控制策略。
访问控制策略配置项详细说明,请参见以下配置项说明表:
您可根据实际业务的需要,选择合适的VPC边界防火墙策略动作:规则参数 参数选项说明 源类型 访问源地址的类型。可选值: - IP地址:访问源地址类型为IP地址,需手动输入IP地址段。
- 地址簿:访问源地址类型为地址簿,需从预先设置的地址簿列表中选择一个地址簿。
说明 您可以将多个IP设置成一个地址簿,方便您在配置访问控制规则时简化规则。
访问源 发送流量的IP或CIDR地址。 说明 访问源只支持配置一个网段。如果源类型选择的是地址簿,需要从地址簿列表中选择一个地址簿作为访问源。说明 您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。目的类型 您可以选择以下目的地址类型: - IP地址:目的地址设置为IP地址。
- 地址簿:目的地址设置为地址簿。
- 域名:目的地址设置为域名。支持设置为泛域名,例如:*.aliyun.com。
目的 设置接收流量的目的地址。 - 选择IP作为目的类型时,该目的地址一定要设置成网段。
- 选择地址簿作为目的类型时,您可单击指定地址簿操作栏的选择按钮,选择该IP地址簿作为目的。
说明 您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
- 选择域名作为目的类型时,可以配置为域名或泛域名,例如:*.aliyun.com。
协议类型 您可选择以下协议: - ANY(任何协议)
- TCP协议
- UDP协议
- ICMP协议
端口类型 您可以选择以下端口类型: - 端口:只支持设置单个端口。
- 地址簿:是指您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。
端口 设置需要放开或限制的端口。可根据端口类型的配置项,手动输入单个端口,或者单击选择,从地址簿中选择预先配置的端口地址簿。 说明- 您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
- 协议选择为ICMP,目的端口配置不生效。协议选择为ANY,对于ICMP流量做访问控制,目的端口配置不生效。
应用 当前支持配置的应用:ANY、HTTP、HTTPS、Memcache、MongoDB、MQTT、MySQL、RDP、Redis、SMTP、SMTPS、SSH和VNC。 协议选择TCP时,支持配置不同的应用类型;如选择其他类型协议,应用类型只能设置为ANY。
说明 识别应用依赖应用报文的特征(协议识别不依据端口);应用识别失败时,该会话流量会被放行。动作 允许或拒绝该流量通过VPC边界防火墙。 支持选择以下动作: - 放行:允许访问。
- 拒绝:禁止访问,并且不会提供任何形式的通知信息。
- 观察:设置为观察模式后仍允许源到目的的访问。观察一段时间后可根据需要调整为放行或拒绝。
描述 对访问控制策略进行描述或备注。输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。 优先级 设置访问控制策略的优先级。默认优先级为最后。支持选择以下优先级: - 最后:指访问控制策略生效的顺序最低,最后生效。
- 最前:指访问控制策略生效的顺序最高,最先生效。
- 拒绝:表示阻断可疑或恶意流量,拒绝其访问。
- 放行:表示放行可信流量,允许其访问。选择放行策略动作时,您可以先创建可信流量的放行策略,再创建一条拒绝其他所有访问的策略。策略配置完成后,确认放行策略的优先级高于拒绝策略的优先级。有关优先级的详细内容,请参见设置和修改访问控制策略的优先级。
说明 VPC边界防火墙默认对所有地址放行。