访问控制策略授权规格是否支持扩展?

如果默认互联网边界防火墙的策略授权规格或者VPC边界防火墙策略授权规格无法满足您的业务需求,可以通过ACL全局扩展规格扩展。

  • 高级版

    默认支持的互联网边界防火墙策略授权规格:4,000条。扩展后,可选范围(互联网边界防火墙策略授权规格):0~50,000条。

  • 企业版

    默认支持的互联网边界防火墙策略授权规格:10,000条;VPC边界防火墙策略授权规格:10,000条。扩展后,可选范围(互联网边界防火墙策略授权规格+VPC边界防火墙策略授权规格):0~100,000条。

  • 旗舰版

    默认支持的互联网边界防火墙策略授权规格:20,000条;VPC边界防火墙策略授权规格:20,000条。扩展后,可选范围(互联网边界防火墙策略授权规格+VPC边界防火墙授权规格):0~200,000条。

扩展费用与您扩展的范围有关:
  • 当扩展范围为(0,10,000】,费用为0.1元/条/月。
  • 当扩展范围为(10,000,50,000】,费用为0.075元/条/月。
  • 当扩展范围为50,000条以上,费用为0.05元/条/月。

防护的VPC间最大流量是否支持扩展?

如果默认防护的VPC间最大流量无法满足您的业务需求,可以通过VPC扩展规格扩展。

  • 企业版

    默认可防护的VPC间最大流量:200 Mbps。扩展后,可选范围:200 Mbps~5 Gbps。

  • 旗舰版

    默认可防护的VPC间最大流量:1 Gbps。扩展后,可选范围:1~10 Gbps。

    如果您的业务需要超过10 Gbps的流量,需提前一个月提交工单报备。

配置应用为HTTP或HTTPS的内对外域名访问控制策略,如何验证策略的有效性?

请勿使用telnet命令进行域名测试,建议使用curl命令或浏览器访问域名进行测试。例如curl -k "https://www.aliyundoc.com",然后查看命中策略的次数和日志审计信息。

如何判断访问控制策略优先级?

访问控制策略优先级决定了策略生效的顺序,优先级由云防火墙自动分配。默认情况下,优先级数字越小策略的优先级越高,优先级数字越大策略的优先级越低。您也可以手动调整策略的优先级。

如果您设置了多条访问控制策略,访问流量进入云防火墙后,会根据策略的优先级按顺序匹配生效的策略。当某个访问流量匹配到一条策略后,云防火墙不再继续匹配其他策略。如果符合放行策略则对流量进行放行,如果触发拒绝策略则拒绝流量通过云防火墙。

  • 互联网边界防火墙(内对外流量或外对内流量),优先级数字越小优先级越高,越大优先级越低。
    注意 互联网边界防火墙中策略的优先级是唯一的。
  • 主机边界防火墙(内-内流量)优先级和安全组一致,优先级数字小的优先级越高,数字越大优先级越低。

    主机防火墙优先级范围为1~100,优先级可以重复。优先级相同时,动作设置为拒绝的策略优先生效。

DNS防火墙与访问控制互联网边界防火墙的内对外策略,有什么区别?

区别如下:

  • DNS防火墙目前处于邀测阶段,需要提交申请才可以试用。访问控制内对外策略是已正式发布的功能。详细信息,请参见【邀测】NAT防火墙2.0邀测通知
  • 两个功能支持的地域不一样。
    • DNS防火墙支持的地域:华东1(杭州)。
    • 访问控制内对外策略支持的地域,请参见支持的地域
  • DNS防火墙是管控内网服务器访问公网指定的域名。访问控制内对外策略是管控内网服务器访问公网指定的域名或IP地址。

普通策略组和企业策略组,有什么区别?

主机边界防火墙(ECS实例间)访问控制的策略组分为普通策略组和企业策略组。
  • 普通策略组对应于ECS的普通安全组,是一种虚拟防火墙,具备状态检测和数据包过滤功能,用于在云端划分安全域。您可以通过配置策略组策略,允许或拒绝策略组内的ECS实例的入流量、出流量。
  • 企业策略组对应于ECS的企业安全组,是一种全新的策略组类型。相比原有的普通策略组,大幅提升了组内容纳实例数量,不再限制组内私网IP数量,且规则配置方式更加简洁便于维护。企业策略组适用于对整体规模和运维效率有较高需求的企业级用户。
下表描述了普通策略组和企业策略组的功能差异。
功能 普通策略组 企业策略组
支持专有网络VPC
支持设置规则优先级
支持授权给其他策略组
能容纳的私网IP地址数量 2000 65536
默认支持同一个策略组内ECS实例互通 否。普通策略组出方向默认允许所有访问,入方向上需要您添加访问规则。 否。需要您添加出方向和入方向的访问规则。

如何解决安全组放通时单击下发按钮返回失败的提示?

表明该IP所关联的安全组不支持默认放通,原因如下:
  • 企业安全组不支持安全组放通功能,并且您如果在同一个VPC网络中存在企业安全组,则该VPC所属的安全组也不支持默认放通功能。相关信息,请参见企业安全组
  • 目前,安全组放通只支持ECS Public IP和ECS EIP这两类资产的互联网方向(外到内)流量,公网SLB等不支持开启。
  • 为更好地保护您的资产安全,对于未开启云防火墙开关的IP,不建议执行默认放通。对于已放通的IP,不建议关闭云防火墙的防护开关,否则会存在公网IP暴露的风险。

如何解决安全组默认放通策略下发状态,提示“配置冲突不可调整”?

安全组默认放通策略为配置冲突不可调整时,说明相同VPC下的某个安全组的规则占用了可调整的优先级。

ECS所属VPC中,其他ECS有安全组与云防火墙要调整的优先级冲突时,需要确保该VPC下所有ECS安全组优先级不存在冲突的情况下,才可使用一键下发的功能。

如何解决安全组放通一键下发功能不可使用(置灰)?

原因是存在还未解决冲突的安全组。对该IP所在的ECS实例关联的安全组中,只要存在配置冲突,都必须先解决冲突后才能下发默认放通策略。更多信息,请参见互联网边界防火墙

如何解决一键下发失败(报错)?

待放通安全组规则规格超出限制,需要手动调整规则。

默认情况下,您最多可以创建100个策略组和100条策略,即在ECS安全组创建并同步到云防火墙的策略数量和在云防火墙主机边界防火墙创建的策略数量加起来不超过100条。如果当前策略数量上限无法满足您的需求,建议您及时清理无需使用的策略,或提交工单申请阿里云技术支持。