公网资产直接访问互联网,可能会导致核心业务数据泄露、业务系统遭受网络攻击等风险,为此,您可以配置互联网边界访问控制策略,管控公网资产和互联网之间的未授权访问,降低数据泄露风险和资产在互联网的暴露面。本文以配置仅允许主机访问特定网站域名为例,介绍如何设置互联网边界访问控制策略。
场景示例
本文以下图场景为例,您的业务中有一台云服务器ECS(主机),绑定的弹性公网IP为47.100.XX.XX,出于资产安全考虑,您需要配置仅允许主机访问www.aliyun.com网站。
前提条件
配置步骤
登录云防火墙控制台。
在左侧导航栏,选择。
在出向页签,单击创建策略。在创建出向策略面板,单击自定义创建页签。
配置一条允许主机访问www.aliyun.com的高优先级策略和一条拒绝主机访问所有公网的低优先级策略。
配置一条允许主机访问www.aliyun.com的策略,关键配置项如下:
配置项
说明
示例值
源类型
网络流量的发起方。您需要选择访问源类型,并根据类型输入地址。
IP
访问源
输入ECS的公网IP地址,本示例为47.100.XX.XX/32
目的类型
网络流量的接收方。您需要选择目的类型,并根据类型输入地址。
域名
目的
输入允许主机访问的网站域名:www.aliyun.com
说明您也可以对该域名进行DNS解析,获取到解析后的IP地址。
协议类型
传输层协议类型,支持设置为:TCP、UDP、ICMP、ANY。不确定具体协议时可选择ANY。
TCP
端口类型
设置目的端口类型和目的端口。
端口
端口
输入0/0,表示所有端口。
应用
设置访问流量的应用类型。
ANY
动作
设置匹配成功的流量在该条策略的放行情况。
放行:放行该流量。
拒绝:拦截该流量,并且不会提供任何形式的通知信息。
观察:该模式下,默认放行流量。您可通过流量日志的相关字段筛选并观察这部分流量,在观察一段时间后,根据实际需求调整为放行或拒绝。
放行
描述
输入该策略的备注内容,便于您后续查看时能快速区分每个策略的目的。
到www.aliyun.com的放行策略
优先级
选择该策略的优先级,默认为最后,表示优先级最低。
最前
策略有效期
设置该策略的有效时间段。策略仅在有效时间段内才可用于匹配流量。
总是
单次时间段:选择单次时间段。
重复周期:选择重复的时间段和生效日期。
说明生效日期的开始时间应小于停止时间,预计策略生效延时3~5分钟。
勾选无限重复,生效结束时间会自动设置为2099.12.31。
相关FAQ:配置策略有效期时,如果重复周期跨天会生效吗?
总是
启用状态
设置是否启用策略。如果您创建策略时未启用策略,可以在策略列表中开启策略。
启用
配置一条拒绝主机访问所有公网IP的策略,关键配置项如下:
访问源:47.100.X.X/32
目的:0.0.0.0/0,表示所有主机的IP地址。
协议类型:ANY
端口:0/0,表示主机的所有端口。
应用:ANY
动作:拒绝
优先级:最后
配置完成后,请确认允许主机访问www.aliyun.com的策略优先级高于拒绝主机访问所有公网的策略。
查看策略的命中情况
业务运行一段时间后,您可以在访问控制策略列表的命中次数/最近命中时间列,查看访问控制策略的命中情况。
单击命中次数可跳转到流量日志页面,查看流量日志。关于如何查看流量日志,请参见日志审计。
相关文档
互联网边界访问控制策略的详细配置指导,请参见配置互联网边界访问控制策略。
更多访问控制策略配置原则,请参见访问控制策略配置示例。
更多关于访问控制策略的配置和使用问题,请参见访问控制策略常见问题。