如果您需要管控资产与特定地理区域的流量访问,例如仅允许您的资产访问某个区域、拒绝某个区域访问您的资产等,您可以配置互联网边界访问控制策略,并指定访问源或目的类型为区域。本文以仅面向非海外用户的业务场景为例,介绍如何设置策略来拦截海外区域的流量访问。
场景示例
本文以下图场景为例,您的业务中有一台云服务器ECS(主机),绑定的弹性公网IP为47.100.XX.XX。考虑到您的业务面向非海外用户,即无需海外区域的流量访问您的资产,因此,您需要配置拒绝所有来自海外区域的流量。
前提条件
配置步骤
登录云防火墙控制台。
在左侧导航栏,选择 。
在入向页签,单击创建策略。在创建入向策略面板,单击自定义创建页签,然后配置策略。策略关键配置项如下:
配置项
说明
示例值
源类型
网络流量的发起方。您需要选择访问源类型,并根据类型输入地址。
区域
访问源
全部国际区域
目的类型
网络流量的接收方。您需要选择目的类型,并根据类型输入地址。
IP
目的
输入ECS的公网IP地址47.100.XX.XX/32
协议类型
传输层协议类型,支持设置为:TCP、UDP、ICMP、ANY。不确定具体协议时可选择ANY。
ANY
端口类型
设置目的端口类型和目的端口。
端口
端口
输入0/0,表示所有端口
应用
设置访问流量的应用类型。
ANY
动作
设置匹配成功的流量在该条策略的放行情况。
放行:放行该流量。
拒绝:拦截该流量,并且不会提供任何形式的通知信息。
观察:该模式下,默认放行流量。观察一段时间后,您可根据需要调整为放行或拒绝。
拒绝
优先级
选择该策略的优先级,默认为最后,表示优先级最低。
最前
策略有效期
设置该策略的有效时间段。策略仅在有效时间段内才可用于匹配流量。
总是
启用状态
设置是否启用策略。如果您创建策略时未启用策略,可以在策略列表中开启策略。
启用
后续步骤
业务运行一段时间后,您可以在访问控制策略列表的命中次数/最近命中时间列,查看访问控制策略的命中情况。
单击命中次数可跳转到流量日志页面,查看流量日志。关于如何查看流量日志,请参见日志审计。
相关文档
互联网边界访问控制策略的详细配置指导,请参见配置互联网边界访问控制策略。
更多访问控制策略配置原则,请参见访问控制策略配置示例。
更多关于访问控制策略的配置和使用问题,请参见访问控制策略常见问题。