本文档介绍了 访问控制策略 的 推荐配置 方法。
访问控制实现原理

- 互联网边界防火墙:
- 原理:在互联网到所有云上资产的公网出入路径进行统一访问控制。
- 配置页面:访问控制-内对外流量,访问控制-外对内流量。
- 默认策略:默认全部放行。
- 主机防火墙/安全组:
- 原理:在每个ECS上存在主机防火墙/安全组,进行主机粒度的访问控制。
- 配置页面:访问控制-内对内流量(只在企业版提供,高级版用户可以在安全组控制台配置)。
- 默认策略:默认出方向全部放行,入方向全部拒绝。
推荐配置步骤
- 完善互联网策略(外-内流量)配置。
请参考以下配置逻辑:
- 先将所有必要在互联网开放的端口放行,比如http/80、https/443服务等。
- 将一些运维或高安全风险的端口有限放行,比如ssh/22、mysql/3306等端口,只给必要的源开放,其它默认拒绝,可以配合地址簿简化配置。
- 默认禁止互联网上一些高危服务端口,比如smb/445端口等。
- 配置Any到Any的默认拒绝策略,可以先配置成观察模式,配合流量日志观察无误后在修改为拒绝模式。
- 将ECS的主机防火墙入方向流量全部设置为允许。
请参考以下配置逻辑:
到访问控制-内对内流量页面,选择包含测试ECS的策略组,配置源0.0.0.0/0到目的ECS的放行策略(主机防火墙/安全组默认入方向禁止所有访问,必须显式配置放行策略)
说明 访问控制-内对内流量页面只提供给企业版、旗舰版用户,高级版用户可以到ECS安全组控制台操作。 - 验证策略是否满足需求。
在日志-流量日志处查询所有流量放行、拒绝、观察情况,可以结合实际测试结果验证策略是否满足要求。
- 完善互联网边界防火墙策略。
验证没有误拦截情况后,可以考虑将Any到Any的默认策略从观察修改为拒绝,注意此步骤需要评估风险后再操作。
- 将所有ECS主机防火墙入方向全部放通。
请参考以下配置逻辑:
- 在访问控制-内对内流量中的每个策略组,都添加一条0.0.0.0/0的策略。
- 后续新购ECS,加入到已有安全组时无需再额外配置,如果加入到新建立的安全组,需要在内对内流量页面配置默认放行策略。
- 检查所有业务的可用性。
在日志-流量日志处可以查询所有流量放行、拒绝、观察情况,可以结合实际测试结果验证策略是否满足要求。
- 配置主动外联访问控制策略(内-外流量)。
请参考以下配置逻辑:
- 对主动外联有访问控制需求时,可以在访问控制-内对外流量处配置。
- 推荐只放行到特定目的域名/IP的请求,如外部API域名等。
- 只放行到特定目的域名/IP的请求,如外部API域名等。
- 默认拦截其它所有主动外联流量(可以先观察一段时间确认所有外联需求)。
在文档使用中是否遇到以下问题
更多建议
匿名提交