开启防火墙开关后,如果您未配置访问控制策略,云防火墙在访问控制策略匹配环节中默认放行所有流量。您可以根据业务需要,配置不同防火墙的流量拦截和放行策略,以便更好地管控资产的未授权访问。本文介绍云防火墙访问控制策略的工作原理、计费方式等。
功能概述
云防火墙提供适用于互联网边界、NAT边界、VPC边界和主机边界的访问控制策略能力,您可以为不同的防火墙配置访问控制策略,拦截未授权的流量访问,实现多方位流量的安全隔离管控。本文介绍的访问控制策略原理仅适用于互联网边界、NAT边界和VPC边界访问控制策略。
主机边界访问控制策略的具体信息,请参见配置主机边界访问控制策略。
DNS域名访问控制策略的具体信息,请参见配置DNS边界访问控制策略。
策略包含的元素
访问控制策略支持识别并匹配不同流量元素,实现对相关流量的放行或拒绝。
匹配项 | 说明 | 配置类型 | 不同策略支持的配置类型 |
访问源 | 网络连接发起方 |
|
|
目的 | 网络连接接收方 | 支持IP、IP地址簿、域名和区域。
|
|
协议类型 | 传输层协议 | 支持TCP、UDP、ICMP和ANY。 不确定具体协议类型时可选择ANY。 | 所有策略:支持所有类型。 |
端口 | 目的端口 | 对访问流量经过的端口进行访问控制,支持端口和端口地址簿。 | 取决于选择的协议类型。 |
应用 | 应用层协议 | 支持HTTP、HTTPS、SMTP、SMTPS、SSL、FTP等多种协议。 不确定具体应用类型时可选择ANY。 说明 云防火墙会将SSL和TLS应用的443端口流量识别为HTTPS类型,SSL和TLS应用的其他端口流量会识别为SSL类型。 | 取决于选择的协议类型,最多支持同时选择5种协议。 |
策略工作原理
如果您未配置任何访问控制策略,云防火墙在访问控制策略匹配环节,默认放行所有流量。
配置访问控制策略后,云防火墙会按照特定的逻辑将访问控制策略展开为一条或多条匹配规则,并下发到引擎。当流量经过云防火墙时,云防火墙按照策略的优先级,依次匹配流量报文,如果流量报文命中某一条策略,则执行该策略动作,并结束策略匹配,否则将继续匹配下一优先级策略,直至命中策略或匹配完所有配置的策略。如果流量匹配完所有访问控制策略后还是没有命中,默认放行该流量。
创建、修改和删除访问控制策略后,云防火墙约需要3分钟将策略下发到引擎。
访问控制策略的优先级数值越小,优先级越高。为了确保访问策略匹配最优,建议您将经常匹配和细化匹配的策略设置为高优先级。
访问控制策略的工作原理如下图所示。
域名解析介绍
互联网边界防火墙、NAT边界防火墙和VPC边界防火墙支持根据流量中携带的域名信息进行域名管控。如果您在互联网边界防火墙出向策略、NAT边界防火墙出向策略中设置了域名或者域名地址簿作为目的地址,云防火墙可以对域名进行解析,提供可视化解析地址,并支持对解析后的地址进行访问控制。
不同应用类型的域名访问控制策略匹配逻辑如下:
域名识别模式为基于FQDN(报文提取Host/SNI):应用类型为HTTP、HTTPS、SMTP、SMTPS、SSL时,云防火墙通过Host或SNI字段来实现域名的访问控制。
域名识别模式为基于DNS动态解析:应用类型为HTTP、HTTPS、SSL、SMTP、SMTPS以外的其他类型时,云防火墙对域名进行DNS动态解析,并提供可视化的域名解析地址,云防火墙支持对解析出的IP地址进行访问控制。一个域名最多解析500个IP。
DNS域名解析策略注意事项
配置DNS域名解析策略时,需要关注以下问题:
以下情况不支持DNS域名解析地址的访问控制策略:
入向流量。仅出向流量的访问控制策略支持域名字段管控。
目的地址域名为通配符域名(例如*.example.com)。通配符域名无法解析到具体的IP。
目的地址类型为域名地址簿。
NAT边界防火墙配置的DNS域名解析策略,总规格占用数不能超过200,超过后创建新的DNS解析策略时会报错。
例如,您已经配置了一条目的地址为aliyun.com、应用类型为ANY的策略,该策略实际占用规格数为185,此时您如果还需要创建一条DNS域名解析策略,并且该策略的实际占用规格数超过15,您将无法创建成功。
互联网边界防火墙配置的DNS域名解析策略,默认规格占用数不超过200,超过后规格占用数计算方式为超出默认规格的数量乘以10。
例如,您已经配置了一条目的地址为aliyun.com、应用类型为ANY的策略,该策略实际占用规格数为185,此时您如果还需要创建一条DNS域名解析策略,假设该策略的实际占用规格数为16,则您创建成功后总规格占用数为(185+16-200)*10+200 = 210。
说明访问控制策略的占用规格计算,请参见策略占用规格。
从ECS访问外部网站域名时,只支持ECS默认配置的DNS解析服务器(即配置的DNS SERVER IP为100.100.2.136、100.100.2.138)。如果您修改了ECS默认的DNS服务器地址,则云防火墙域名解析访问控制策略将无法保证准确性。
如果存在多个域名解析到同一个IP地址,访问控制策略会受影响。
例如,配置一个example.aliyundoc.com的HTTP协议流量的放行策略。假设example.aliyundoc.com域名解析A记录为1.1.XX.XX,则实际下发到引擎的匹配规则为1.1.XX.XX的HTTP协议允许。此时,如果另一个域名demo.aliyundoc.com的A记录也解析为1.1.XX.XX,那么访问demo.aliyundoc.com的HTTP协议也会被放行。
域名的解析地址有变化时,云防火墙会使用最新的解析地址并自动更新对应的访问控制策略。互联网边界策略自动更新周期约为5分钟;NAT边界策略自动更新周期约为60分钟。
例如,域名example.aliyundoc.com的解析结果由1.1.XX.XX变化为2.2.XX.XX,云防火墙自动更新访问控制策略,即云防火墙会自动应用最新解析的IP地址,确保要拦截或放行的域名指向的实时IP地址都能包含在该访问控制策略内。
说明如果您想根据变化后的解析地址手动更新访问控制策略,可在该策略的编辑页面单击域名解析,手动触发域名解析来获取最新的解析地址。
策略执行动作
访问控制策略的动作支持设置为放行、观察和拒绝。当流量包的报文元素与访问控制策略规则匹配成功时,云防火墙执行该访问控制策略的动作。
策略的动作设置为观察模式后,当策略匹配成功时仍会放行流量。您可以在观察一段时间后,根据需要调整为放行或拒绝。
您可以进入流量日志页面查看流量数据。具体操作,请参见日志审计。
策略占用规格
配置访问控制策略后,云防火墙将按照访问源、目的地址、协议类型、端口、应用配置项的对象数量,统计每条访问控制策略的实际占用规格数。
计算方式
策略占用规格数的计算公式如下:
单条策略占用的规格数=源地址个数(IP地址段个数或区域个数)*目的地址个数(IP地址段个数或区域个数或域名个数)*端口段个数*应用数
重要当配置的为域名策略,采用了DNS解析模式的默认规格占用数不超过200,超出的规格占用数计算方式为超出默认规格的数量*10。
您可以在访问控制策略列表的占用规格数列,查看每条访问控制策略的实际占用规格数。
访问控制策略的使用规格数=所有访问控制策略占用的规格数之和(包含出向策略和入向策略)
您可以在访问控制策略的页面上方,查看对应策略的使用规格。例如互联网边界的使用规格统计数据如下所示:
计费说明
云防火墙包年包月版(高级版、企业版、旗舰版)的基础价格默认提供一定数量的访问控制策略规格数。如果默认提供的访问控制策略授权规格数不满足需求,您可以按需扩展。
扩展购买的全局访问控制策略规格数支持互联网边界防火墙、NAT边界防火墙和VPC边界防火墙访问控制策略配置场景共享占用。更多信息,请参见包年包月。
云防火墙按量版最多支持创建互联网边界访问控制策略2,000规格数、NAT边界访问控制策略2,000规格数、VPC边界访问控制策略10,000规格数,暂时不支持扩展。更多信息,请参见按量付费。
策略占用规格计算示例
相关文档
管控公网资产与互联网之间的流量,请参见配置互联网边界访问控制策略。
管控私网资产访问互联网的流量,请参见配置NAT边界访问控制策略。
管控VPC与VPC之间、VPC与线下IDC之间的访问流量,请参见配置VPC边界访问控制策略。
管控ECS之间的访问流量,请参见配置主机边界访问控制策略。
如果您需要了解访问控制策略的配置规则和场景示例,请参见访问控制策略配置示例。
如果您的业务同时部署了云防火墙和运维安全中心(堡垒机),您需要合理配置访问控制策略,避免运维安全中心(堡垒机)访问被误拦截。具体操作,请参见云防火墙和运维安全中心(堡垒机)联合部署访问策略的最佳实践。