如果您的资产需要关闭所有来自境外的访问,您可以在云防火墙控制台创建一条策略,拒绝所有来自境外的流量。本文介绍如何在云防火墙控制台关闭境外所有访问。

前提条件

配置互联网边界防火墙策略前,请您确认互联网边界防火墙开关已开启,否则策略将不生效。详细内容,请参见开启或关闭互联网边界防火墙互联网边界防火墙

背景信息

互联网边界防火墙支持对外对内(外部互联网访问您的内部网络)按区域进行访问控制。

创建访问控制策略

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制 > 访问控制
  3. 互联网边界防火墙页面,单击外对内页签。
  4. 外对内页签,单击创建策略
    外对内创建策略
  5. 创建外-内策略对话框中完成参数配置,单击确认

    源类型选择区域访问源选择所有需要禁止访问的境外区域、动作选择拒绝。详细的参数说明,请参见下表:

    创建策略访问控制区域
参数名称 参数配置说明
源类型 访问源地址的类型。取值:
  • IP地址访问源地址类型为IP地址,需手动输入IP地址段。
  • 地址簿访问源设置需从您预先配置的地址簿中选择。
    说明 您可以将多个IP地址设置成一个地址簿,方便您在配置访问控制规则时简化规则配置。
访问源 访问流量的IP或CIDR地址。
说明 访问源只支持配置一个网段,例如:192.0.2.0/32。
如果源类型选择的是地址薄,需要从地址簿列表中选择一个地址簿作为访问源。
说明 您1次只能选择1个地址薄,如果需要使用多个地址薄,您可以通过新增策略来添加。
目的类型 您可以选择以下目的类型:
  • IP地址:访问目的设置为IP地址。
  • 地址簿:访问目的从地址簿中选择IP地址簿、域名地址簿或云地址簿。
  • 域名:策略目的设置为某一个域名。域名配置支持泛域名,如*.aliyun.com
    说明 对于HTTP Header中没有Host字段或HTTPS请求没有SNI的流量默认放行
  • 区域:访问目的从列表中选择一个区域。可选中国区域或国际区域。
目的 访问目的需要设置为网段;只可配置一个网段。

如果目的类型选择的是域名,可以配置为域名或泛域名。

说明
  • 内对外流量:访问源如果选择地址簿,只可选择IP地址簿类型;目的地址簿可选择IP地址簿、域名地址簿或云地址簿类型。
  • 外对内流量:源类型可选择IP地址簿或云地址簿类型,目的地址簿仅可选择IP地址簿类型。
  • 您1次只能选择1个地址薄,如果需要使用多个地址薄,您可以通过新增策略来添加。
协议类型 您可选择以下协议:
  • ANY(任何协议)
  • TCP协议
  • UDP协议
  • ICMP协议
端口类型 您可以选择以下端口类型:
  • 端口:仅支持一个端口范围。
  • 地址簿:是您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。
端口 设置需要放开或限制的端口。可根据端口类型的配置项,手动输入单个端口号,或者单击选择,从地址薄中选择预先配置的端口地址簿
说明
  • 您1次只能选择1个地址薄,如果需要使用多个地址薄,您可以通过新增策略来添加。
  • 协议选择为ICMP,目的端口配置不生效。协议选择为ANY,对于ICMP流量做访问控制,目的端口配置不生效。
应用 当前支持配置的应用类型有:ANYHTTPHTTPSMemcacheMongoDBMQTTMySQLRDPRedisSMTPSMTPSSSHVNC

协议选择TCP时,您可以选择以上任意应用类型;如选择其他类型协议,应用类型只能设置为ANY

说明 识别应用依赖应用报文特征(协议识别不依据端口),应用识别失败时,该会话流量会被放行。如果您想拦截未知应用类型的流量,建议您开启互联网边界防火墙严格模式。更多信息,请参见互联网边界防火墙-严格模式
动作 允许或拒绝该流量通过互联网边界防火墙。 取值:
  • 放行:允许访问。
  • 拒绝:禁止访问,并且不会提供任何形式的通知信息。
  • 观察:设置为观察模式后仍允许源到目的的访问。观察一段时间后,您可根据需要调整为放行拒绝
描述 对访问控制策略进行描述或备注。输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
优先级 设置访问控制策略的优先级。取值:
  • 最后:指访问控制策略生效的顺序最低,最后生效。
  • 最前:指访问控制策略生效的顺序最高,最先生效。

默认优先级为最后

查看是否有访问流量命中控制策略

访问控制策略配置完成后,默认情况下策略立即生效。但如果策略参数配置不正确,或者互联网边界防火墙未打开,可能会导致您的策略配置不生效。

您可以在访问控制策略列表中定位到该新增的策略,如果命中次数栏有显示对应的命中次数,表示已有访问流量命中该策略。命中次数是创建策略后,访问流量命中该策略的累计次数。命中次数
您还可以单击命中次数,跳转到流量日志页面。流量日志页面规则名会显示出该流量命中的访问控制策略的名称。
说明 流量日志仅展示最近7天内的流量信息。如果命中策略是发生在7天前,流量日志列表中的数据将会为空。

修改访问控制策略

访问控制策略配置完成后,您可以根据实际需求修改该条策略的访问控制区域或其他访问控制参数。

您可以在访问控制策略列表中定位到该新增的策略,单击操作编辑,在编辑对话框修改访问控制参数。