主机边界防火墙可以对ECS实例间的入流量和出流量进行访问控制,限制ECS实例间的未授权访问。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。本文介绍如何配置主机边界防火墙。
背景信息
- 支持策略的批量发布。
- 策略支持观察模式。
- 同应用组配合,自动创建安全组。
- 在云防火墙控制台可实现策略的统一管控,并且无需切换ECS实例所在的地域。
默认情况下,您最多可以创建100个策略组和100条策略,即在ECS安全组创建并同步到云防火墙的策略数量和在云防火墙主机边界防火墙创建的策略数量加起来不超过100条。如果当前策略数量上限无法满足您的需求,建议您及时清理无需使用的策略,或者通过配置VPC边界访问控制策略,减少配置不必要的主机防火墙策略。
版本支持说明
仅企业版和旗舰版云防火墙支持主机边界防火墙功能。
策略组类型
策略组分为普通策略组和企业策略组。两种策略组的应用场景介绍如下:
- 普通策略组对应于ECS的普通安全组,是一种虚拟防火墙,具备状态检测和数据包过滤功能,用于在云端划分安全域。您可以通过配置策略组,允许或拒绝策略组内的ECS实例的入流量、出流量。该策略组适用于对网络控制要求较高、网络连接数适中的用户场景。
- 企业策略组对应于ECS的企业安全组,是一种全新的策略组类型,相比原有的普通策略组,大幅提升了组内容纳实例数量,不再限制组内私网IP数量,规则配置方式更加简洁便于维护,适用于对整体规模和运维效率有较高需求的企业级用户。
下表列举了两种策略组的差异:
功能 | 普通策略组 | 企业策略组 |
---|---|---|
支持专有网络VPC | 是 | 是 |
支持设置规则优先级 | 是 | 否 |
支持授权给其他策略组 | 是 | 否 |
支持手动设置允许访问的策略 | 是 | 是 |
支持手动设置拒绝访问的策略 | 是 | 否,企业策略组默认拒绝任何访问请求。 |
能容纳的私网IP地址数量 | 2000 | 65536 |
默认支持同一个策略组内ECS实例互通 | 否,需要在该策略组中创建允许的策略。 | 否,需要在该策略组中创建允许的策略。 |
配置流程
配置主机边界防火墙访问控制策略时,您必须先创建策略组(策略组中包含默认策略),然后在该策略组中配置入方向或出方向访问控制策略。完成策略组和策略配置后,必须发布策略组,才能将策略组策略同步到ECS安全组并生效。该策略组适用于对运维效率有更高需求的用户场景。

步骤一:创建策略组
步骤二:配置策略
创建策略组之后,您还需要在该策略组中添加具体的访问控制策略。
步骤三:发布策略
创建策略后,您还需要发布该策略,策略才会生效,并开始对相应的内网流量进行访问控制。
相关操作
策略组创建完成后,您可以在主机边界防火墙的策略组列表中查看新建的策略组,并根据需要对策略组执行以下操作:
- 编辑:修改当前策略组包含的ECS实例和策略组的描述。
- 删除:删除策略组。
注意 删除策略组后,策略组中的主机访问控制策略会失效,请谨慎操作。删除策略组后,策略记录仍会保留在策略组列表中,但您无法再对其执行任何操作。
如果您希望清理不再需要的策略组,则可以将策略组来源设置为自定义,筛选出所有在云防火墙控制台手动创建的策略组,再去判断策略组是否需要保留。