云防火墙支持对主机边界防火墙(即ECS实例间访问流量)的访问控制。您可在云防火墙中配置访问控制策略,限制ECS实例间的未授权访问。

主机边界防火墙底层使用了安全组的能力,您在云防火墙主机边界防火墙页面配置的访问控制策略会自动同步到ECS安全组中。

说明 在主机边界防火墙策略列表中,选择来源自定义类型,单击搜索,您将能看到您在主机边界防火墙页面配置的所有策略组信息。

主机边界防火墙的优势

  • 支持策略的批量发布。
  • 支持策略组初始模板。
    模板类型可选:
    • default-accept-login:默认放行入方向所有流量的22和3389端口。
    • default-drop-all:默认拒绝该策略组中的所有流量。
    • default-accept-all:默认放行该策略组中的所有流量。
  • 同应用组配合,自动创建安全组。
说明 默认情况下,您最多可创建100个策略组和100条策略(也就是在ECS安全组创建并同步到云防火墙的策略数量和在云防火墙主机边界防火墙侧创建的策略数加起来不超过100条)。如果当前策略数量上限无法满足您的需求,建议您及时清理无需使用的策略或提交工单,申请阿里云技术支持。

操作步骤

配置主机间访问控制策略时,您需先新建策略组,然后在该策略组中配置对应的入方向出方向访问控制策略。

  1. 登录云防火墙控制台
  2. 单击导航栏的安全策略 > 访问控制 > 主机边界防火墙

  3. 单击右上角新建策略组,在新建策略组对话框中配置策略组。

    策略组配置项说明如下。

    配置项名称 配置项描述 配置方法
    策略组名称 策略组的自定义名称。字符长度限制范围为1-128。 手动输入策略组名称,便于您后续识别该策略组。
    所属VPC 该策略组应用的VPC网络。 单击所属VPC下拉框并选择该策略组应用的VPC。
    说明 您只可选择一个所属VPC。
    实例ID 该所属VPC网络下的实例ID。 单击实例ID下拉框并选择该VPC网络下的实例IP。
    说明 实例ID支持多选。
    描述 该策略组的备注信息。字符长度限制范围为2-256。 手动输入描述内容,便于您后续识别该策略组。
    模板 该策略组允许或拒绝流量通过的模板。 单击模板下拉框并选择模板类型。模板类型可选:
    • default-accept-login:默认放行入方向所有流量的22和3389端口。
    • default-drop-all:默认拒绝该策略组中的所有流量。
    • default-accept-all:默认放行该策略组中的所有流量。
  4. 单击提交,完成策略组的创建。

    策略组创建完成后,您可在主机边界防火墙页面的策略组列表中找到该策略组,可对策略组配置策略发布策略、编辑策略组或删除策略组。

    说明 策略组支持修改和删除。策略组修改仅限修改实例和描述信息;策略组删除后,该策略中组的主机访问控制策略也将被自动删除并失效,请谨慎操作。
  5. 单击策略组操作栏的配置策略,将主机访问控制策略添加到该策略组中。
    说明 策略组中支持添加多条主机访问控制策略。默认情况下,您最多可创建100个策略组和100条策略。如果当前策略数量上限无法满足您的需求,建议您及时清理无需使用的策略或提交工单,申请阿里云技术支持。


  6. 策略配置页面选择入方向出方向,并单击右上角新建策略

  7. 新建策略组策略对话框中完成策略项配置。

    策略配置说明如下。

    策略配置项名称 配置项描述 配置方法
    网卡类型 该策略应用的网略类型。 系统默认配置为内网表示内网间的访问流量。
    策略方向 该策略控制的流量方向。 可选项:
    • 入方向:从其它ECS访问本机。
    • 出方向:从本机访问其它ECS。
    策略类型 允许或拒绝该流量通过主机防火墙。 可选项:
    • 允许:允许该内网间流量通过。
    • 拒绝:不允许该内网间流量通过。
    协议类型 该访问流量的协议类型。 单击协议类型下拉框并选择对应的类型。可选项:
    • TCP
    • UDP
    • ICMP
    • ANY:表示任何协议类型。不确定该访问流量的类型时可选择ANY
    端口范围 该策略限制或放行某个访问流量所经过的目的端口。 手动输入端口的地址范围。例如:22/22。
    优先级 该策略生效的优先级。 手动输入优先级。
    说明 主机访问控制策略优先级范围为1-100,优先级可重复。策略优先级相同时,拒绝策略优先生效。优先级相同的策略,如果都是放行类型,那这两条策略将同时生效。
    源类型 该策略限制的访问源的类型。 可选项:
    • 地址段访问:该策略的访问源为地址段。
    • 策略组:该策略的访问源类型为策略组访问,表示访问源为该策略组中的多个实例地址。
    说明 在ECS安全组中创建的策略,您将无法选择策略组作为源类型,只允许选择地址段访问源类型。
    源对象 该策略访问源地址,为单个地址段或者策略组中的多个实例地址。 根据选择的源类型配置源对象。
    • 源类型选择地址段访问时,需手动输入访问源地址段。仅支持单个地址段。
    • 源类型选择策略组时,单击源对象下拉框并选择策略组,表示访问源为策略组中的多个实例地址。
      说明 只允许选择单个策略组作为源对象
    目的选择 表示访问流量的目的地址。 可选项:
    • 全部ECS:该策略将应用到您的所有ECS中。
    • 地址段访问:手动输入IP/ICDR地址段。策略将应用到该地址接收的流量中。
    描述 该策略的备注信息,用于区分策略的目的。 需手动输入描述信息。字符范围为2-256。
  8. 单击提交,完成策略的创建。
    您可策略配置页面的入方向或出方向策略列表中,查看、编辑或删除已创建的策略。

    说明 策略删除后,该策略中对应流量的访问控制将失效,请谨慎删除。策略删除后,该策略的记录仍会保留在策略列表中,但您无法再对其执行任何操作。
  9. 主机防火墙页面定位到需要生效的策略组,并单击右侧操作栏的发布,使策略生效并同步到ECS安全组。

    说明 策略发布后才会生效并同步到ECS安全组。您可在ECS控制台安全组 > 安全组列表页面,查看您在云防火墙主机边界防火墙页面创建、并同步到安全组中的访问控制策略。

主机边界防火墙配置视频教程

主机边界防火墙和ECS安全组的区别

云防火墙的主机边界防火墙可对ECS实例间的访问流量进行控制。

有关主机边界防火墙和ECS安全组的区别,参见云防火墙和安全组有什么差异?