云防火墙的外-内和内-外流量是指面向互联网的流量,也就是南北向流量。您可以通过云防火墙访问控制功能对南北向的访问控制策略进行自定义配置,从而实现对访问流量的精准控制、保护您的网络安全。

背景信息

假如ECS(主机) IP地址是10.1.1.1, EIP是200.2.2.2 , 需要设置内-外流量只允许主机访问www.abc.com这个域名。

说明 EIP即弹性公网IP,是可以独立购买和持有的公网IP地址资源。EIP详细介绍参见什么是弹性公网IP?

实施步骤

  1. 在阿里云云防火墙控制台定位到访问控制功能的内-外流量页签。
  2. 配置内-外流量只允许主机访问www.abc.com
    • 新增内-外策略中源类型选择IP访问源输入200.2.2.2/32
    • 目的类型选择域名目的输入www.abc.com
      说明 目的类型选择 域名时无需配置协议类型。
    • 目的端口输入0/0
    • 应用根据域名的类型选择HTTPHTTPS
    • 动作选择放行
    • 输入描述信息。建议输入策略及其目的的描述。
  3. 配置内-外流量放行DNS解析。
    • 新增内-外策略中源类型选择IP访问源输入200.2.2.2/32
    • 目的类型选择IP目的输入0.0.0.0/0
    • 协议类型选择UDP
    • 目的端口输入53/53
    • 应用选择ANY
    • 动作选择放行
    • 输入描述信息。建议输入策略及其目的的描述。
  4. 将除放行策略之外的流量设置为拒绝
    • 新增内-外策略中源类型选择IP访问源输入0.0.0.0/0
    • 目的类型选择IP目的输入0.0.0.0/0
    • 协议类型选择ANY
    • 目的端口输入0/0
    • 应用选择ANY
    • 动作选择拒绝
    • 输入描述信息。建议输入策略及其目的的描述。
  5. 策略配置完成后,确认第1条放行www.abc.com域名策略和第2条放行DNS策略优先级是高于第3条配置的拒绝所有流量策略的。
    说明 调整策略优先级操作详见设置/修改访问控制策略的优先级

后续操作

访问控制策略配置完成后,可以通过访问控制页面中的命中次数观察策略的命中情况;通过流量日志页面查看该策略命中的流量。