只允许公网主机访问指定域名的策略配置教程

公网资产直接访问互联网,可能会导致核心业务数据泄露、业务系统遭受网络攻击等风险,为此,您可以配置互联网边界访问控制策略,管控公网资产和互联网之间的未授权访问,降低数据泄露风险和资产在互联网的暴露面。本文以配置仅允许主机访问特定网站域名为例,介绍如何设置互联网边界访问控制策略。

场景示例

本文以下图场景为例,您的业务中有一台云服务器ECS(主机),绑定的弹性公网IP为47.100.XX.XX,出于资产安全考虑,您需要配置仅允许主机访问www.aliyun.com网站。

image

前提条件

您已经购买了云防火墙服务,并且已开启互联网边界防火墙保护。具体操作,请分别参见购买云防火墙服务互联网边界防火墙

配置步骤

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择访问控制 > 互联网边界

  3. 出向页签,单击创建策略。在创建出向策略面板,单击自定义创建页签。

  4. 配置一条允许主机访问www.aliyun.com的高优先级策略和一条拒绝主机访问所有公网的低优先级策略

    1. 配置一条允许主机访问www.aliyun.com的策略,关键配置项如下:

      配置项

      说明

      示例值

      源类型

      网络流量的发起方。您需要选择访问源类型,并根据访问源类型输入发送流量的访问源地址。

      IP

      访问源

      输入ECS的公网IP地址,本示例为47.100.XX.XX/32

      目的类型

      网络流量的接收方。您需要选择目的类型,并根据目的类型输入接收流量的目的地址。

      域名

      目的

      输入允许主机访问的网站域名:www.aliyun.com

      说明

      您也可以对该域名进行DNS解析,获取到解析后的IP地址。

      协议类型

      传输层协议类型,支持设置为:TCPUDPICMPANY。不确定具体协议时可选择ANY

      TCP

      端口类型

      设置目的端口类型和目的端口。

      端口

      端口

      输入0/0,表示所有端口。

      应用

      设置访问流量的应用类型。

      ANY

      动作

      设置匹配成功的流量在该条策略的放行情况。

      • 放行:放行该流量。

      • 拒绝:拦截该流量,并且不会提供任何形式的通知信息。

      • 观察:该模式下,默认放行流量。观察一段时间后,您可根据需要调整为放行拒绝

      放行

      描述

      输入该策略的备注内容,便于您后续查看时能快速区分每个策略的目的。

      到www.aliyun.com的放行策略

      优先级

      选择该策略的优先级,默认为最后,表示优先级最低。

      最前

      策略有效期

      设置该策略的有效时间段。策略仅在有效时间段内才可用于匹配流量。

      总是

      启用状态

      设置是否启用策略。如果您创建策略时未启用策略,可以在策略列表中开启策略。

      启用

    2. 配置一条拒绝主机访问所有公网IP的策略,关键配置项如下:

      • 访问源:47.100.X.X/32

      • 目的:0.0.0.0/0,表示所有主机的IP地址。

      • 协议类型:ANY

      • 端口:0/0,表示主机的所有端口。

      • 应用:ANY

      • 动作:拒绝

      • 优先级:最后

    配置完成后,请确认允许主机访问www.aliyun.com的策略优先级高于拒绝主机访问所有公网的策略

查看策略的命中情况

访问控制策略配置完成后,默认情况下策略立即生效。您可以在访问控制策略列表的命中次数/最近命中时间列,查看访问控制策略的命中情况。

image.png

命中次数/最近命中时间列有显示命中次数及时间,表示已有访问流量命中该策略。您可以单击命中次数,跳转到流量日志页面查看详细数据。具体操作,请参见日志审计

相关文档