拒绝海外区域访问主机的策略配置教程

如果您需要管控资产与特定地理区域的流量访问,例如仅允许您的资产访问某个区域、拒绝某个区域访问您的资产等,您可以配置互联网边界访问控制策略,并指定访问源或目的类型为区域。本文以仅面向非海外用户的业务场景为例,介绍如何设置策略来拦截海外区域的流量访问。

场景示例

本文以下图场景为例,您的业务中有一台云服务器ECS(主机),绑定的弹性公网IP为47.100.XX.XX。考虑到您的业务面向非海外用户,即无需海外区域的流量访问您的资产,因此,您需要配置拒绝所有来自海外区域的流量。

image

前提条件

您已经购买了云防火墙服务,并且已开启互联网边界防火墙保护。具体操作,请分别参见购买云防火墙服务互联网边界防火墙

配置步骤

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择防护配置 > 访问控制 > 互联网边界

  3. 入向页签,单击创建策略。在创建入向策略面板,单击自定义创建页签,然后配置策略。策略关键配置项如下:

    配置项

    说明

    示例值

    源类型

    网络流量的发起方。您需要选择访问源类型,并根据类型输入地址。

    区域

    访问源

    全部国际区域

    目的类型

    网络流量的接收方。您需要选择目的类型,并根据类型输入地址。

    IP

    目的

    输入ECS的公网IP地址47.100.XX.XX/32

    协议类型

    传输层协议类型,支持设置为:TCPUDPICMPANY。不确定具体协议时可选择ANY

    ANY

    端口类型

    设置目的端口类型和目的端口。

    端口

    端口

    输入0/0,表示所有端口

    应用

    设置访问流量的应用类型。

    ANY

    动作

    设置匹配成功的流量在该条策略的放行情况。

    • 放行:放行该流量。

    • 拒绝:拦截该流量,并且不会提供任何形式的通知信息。

    • 观察:该模式下,默认放行流量。观察一段时间后,您可根据需要调整为放行拒绝

    拒绝

    优先级

    选择该策略的优先级,默认为最后,表示优先级最低。

    最前

    策略有效期

    设置该策略的有效时间段。策略仅在有效时间段内才可用于匹配流量。

    总是

    启用状态

    设置是否启用策略。如果您创建策略时未启用策略,可以在策略列表中开启策略。

    启用

后续步骤

业务运行一段时间后,您可以在访问控制策略列表的命中次数/最近命中时间列,查看访问控制策略的命中情况。

单击命中次数可跳转到流量日志页面,查看流量日志。关于如何查看流量日志,请参见日志审计

image.png

相关文档