本文档介绍了访问控制策略的推荐配置方法。

访问控制实现原理

  • 互联网边界防火墙
    • 原理:在互联网到所有云上资产的公网出入路径进行统一访问控制。
    • 默认策略:默认全部放行。
  • 主机防火墙或安全组
    • 原理:在每个ECS上存在主机防火墙或安全组,进行主机粒度的访问控制。
    • 默认策略:默认出方向全部放行,入方向全部拒绝。

推荐配置步骤

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制 > 访问控制
  3. 互联网边界防火墙页签,配置互联网外对内流量。

    请参考以下配置逻辑:

    • 放行所有在互联网开放的必要端口,比如http(80)、https(443)服务等。
    • 有限放行运维或高安全风险的端口,比如ssh(22)、mysql(3306)等端口。
      说明 只给必要的源开放,其它默认拒绝,可以配合地址簿简化配置。
    • 默认禁止互联网的高危服务端口,比如smb(445)端口等。
    • 配置Any到Any的默认拒绝策略,先配置成观察模式,配合流量日志观察无误后再修改为拒绝模式
  4. 设置ECS的主机防火墙入方向流量为允许

    请参考以下配置逻辑:

    在访问控制-内对内流量页面,选择包含测试ECS的策略组,配置源0.0.0.0/0到目的ECS的放行策略(主机防火墙或安全组默认入方向禁止所有访问,必须显式配置放行策略)。

    说明 访问控制-内对内流量页面只提供给企业版、旗舰版用户,高级版用户可以到ECS安全组控制台操作。
  5. 验证策略是否满足需求。

    日志审计 > 流量日志处查询所有流量放行、拒绝、观察情况,可以结合实际测试结果验证策略是否满足要求。

  6. 完善互联网边界防火墙策略。
    验证没有误拦截情况后,可以考虑将Any到Any的默认策略从观察修改为拒绝。
    注意 此步骤需要评估风险后再操作。
  7. 将所有ECS主机防火墙入方向全部放通。

    请参考以下配置逻辑:

    • 主机边界防火墙页签的每个策略组,都添加一条0.0.0.0/0的策略。
    • 后续新购买的ECS,加入到已有安全组时无需再额外配置策略;如果加入到新创建的安全组,需要在主机边界防火墙页签配置放行策略。
  8. 检查所有业务的可用性。

    日志分析 > 日志审计流量日志页签,查询所有流量放行、拒绝、观察情况,可以结合实际测试结果验证策略是否满足要求。

  9. 配置主动外联访问控制策略(内对外流量)。

    请参考以下配置逻辑:

    • 对主动外联有访问控制需求时,可以在访问控制 > 互联网边界防火墙 > 内对外处配置。
    • 推荐只放行到特定目的域名或IP的请求,如外部API域名等。
    • 只放行到特定目的域名或IP的请求,如外部API域名等。
    • 默认拦截其它所有主动外联流量(可以先观察一段时间确认所有外联需求)。