互联网边界防火墙帮助您检测互联网和公网IP资产间的通信流量。您可以为阿里云账号下的公网IP资产开启或关闭互联网边界防火墙,也可以下发安全组默认放通策略,简化ECS安全组访问控制策略的配置。本文介绍如何配置互联网边界防火墙。
背景信息
公网IP配额未超过限制。公网IP配额指支持开启互联网边界防火墙的公网IP数量,关于不同云防火墙版本拥有不同的公网IP配额限制的信息,请参见功能特性。您可以通过扩充带宽规格来增加默认公网IP配额,相关操作,请参见续费说明。
开启或者关闭互联网边界防火墙
说明 建议您开启阿里云账号下所有的互联网边界防火墙。
下发安全组默认放通策略
ECS安全组的访问控制默认拒绝互联网方向的访问,云防火墙通过下发放通策略将默认拒绝的属性修改为放通,方便您在云防火墙的访问控制中统一管理规则,无需您前往ECS管理控制台的安全组页面修改安全组的配置。
防护原理
云防火墙通过给开放公网IP的ECS安全组下发4条优先级最低(优先级为100)的访问控制策略(即ECS安全组规则),实现该ECS的公网IP在互联网方向的默认放通。安全组放通功能无需您手动添加访问控制策略,只需在云防火墙自动新增策略后,确认这4条策略无误,并保存新增策略即可。
说明 安全组放通的功能仅对ECS安全组规则设置为放行的流量生效,对于设置为拒绝的安全组规则无影响。
限制条件
- 企业安全组不支持安全组放通功能,且在同一个VPC网络中存在企业安全组,则该VPC所属的安全组也不支持默认放通功能。更多内容,请参见企业安全组。
- 目前安全组放通只支持ECS Public IP和ECS EIP这两类资产的互联网方向(外到内)流量,公网SLB等不支持开启。
- 为更好地保护您的资产安全,对于未开启云防火墙开关的IP,不建议执行默认放通。对于已放通的IP,不建议关闭云防火墙的防护开关,否则会存在公网IP暴露的风险。
警告 请您重点关注以下情况,以免为您的业务带来严重安全风险。
- 对于未开启云防火墙开关的IP,不建议执行默认放通。
- 如果ECS的公网IP不支持开启引流(例如公网SLB),不建议执行默认放通。
- 云防火墙服务到期后,如果您不再使用云防火墙服务,可以通过云服务器ECS的删除安全组规则功能,删除云防火墙之前自动添加的这4条放通策略。具体操作,请参见删除安全组规则。
相关操作
您还可以根据业务需要,执行如下操作:
- 升级规格
单击规格升级,升级云防火墙版本或者升级配置规格。具体信息,请参见续费说明。
- 查看未保护、已保护的IPv6、IPv4个数
- 单击
图标,查看未保护、已保护的IPv6、IPv4个数。
- 单击IPv6、IPv4的个数,页面下方的公网IP资产列表会为您展示对应的数据信息。
例如单击未保护的IPv6个数,页面下方的公网IP资产列表为您展示未保护的IPv6的资产详细信息。
- 单击