本文为您介绍主机边界防火墙策略组配置的相关操作。

同一策略组中ECS实例之间实现内网互访

同一个主机边界防火墙策略组内,策略组在未设置放行策略的情况下,该策略组中的ECS实例之间默认不支持内网互访。
说明 如果您通过ECS控制台来设置安全组规则,同一安全组内ECS实例之间默认内网互通。这一点是云防火墙主机边界防火墙与ECS安全组最明显的区别。
如果您需要实现同一策略组中ECS实例内网互访,可以在主机边界防火墙策略组内新建入方向和出方向放行策略。配置示例如下:
  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制 > 访问控制
  3. 主机边界防火墙页签,单击配置策略
  4. 入方向页签,单击配置策略。然后单击编辑,根据实际情况设置相关配置项。
    其中策略类型设置为允许
    • 如果需要该策略组内的所有ECS实例实现内网互访,目的选择设置为全部ECS
    • 如果需要该策略组内的部分ECS实例实现内网互访,目的选择设置为地址段访问,并填写对端ECS的IP地址段。
  5. 参考如上步骤,配置出方向的放行策略。

不同策略组中ECS实例之间实现内网互访

如果ECS实例A和ECS实例B分属于两个不同的主机边界防火墙策略组,策略组在未设置放行策略的情况下,ECS实例A和B默认不支持内网互访。

如果您需要实现ECS实例A和B的内网互访,可以分别对ECS实例A和B主机添加入方向和出方向的放行策略。配置示例如下:
  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制 > 访问控制
  3. 主机边界防火墙页签,定位到ECS实例A所属的任意一个策略组。然后单击配置策略
    说明 同一台ECS实例可以加入最多5个策略组。
  4. 入方向或者出方向页签,单击配置策略。然后单击编辑,根据实际情况设置相关配置项。

    其中策略类型设置为允许目的选择设置为地址段访问,并填写对端ECS的IP地址段。

  5. 参考上述步骤,完成对ECS实例B的配置。

同一VPC内不同策略组实现内网互访

如果您需要实现同一个VPC内不同的策略组之间内网互通,可以在该策略组中创建一条源类型为策略组的放行策略。
  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制 > 访问控制
  3. 主机边界防火墙页签,单击配置策略
  4. 入方向页签,单击编辑,根据实际情况设置相关配置项。

    其中策略类型设置为允许源类型选择策略组源对象选择需要实现内网互通的对端策略组、目的选择设置为全部ECS

  5. 参考上述步骤,创建出方向的放行策略。