本文介绍NAT边界访问控制策略ACL(Access Control List)升级迁移方案的背景信息、升级迁移流程、注意事项等。
背景信息
云防火墙的互联网边界访问控制策略同时集成了公网访问控制策略和私网访问控制策略,不利于您的公私网访问分离管控。
为了给您带来更好的使用和管理体验,云防火墙推出了NAT边界访问控制功能。通过升级后的NAT边界访问控制功能,您可以更加灵活地管理和控制私网资产的出向(内网访问外部互联网)流量访问,提高网络安全性和稳定性。
适用对象
互联网边界访问控制策略中存在私网ACL(即私网IP访问公网的访问控制策略)的用户。
您可以登录云防火墙控制台,在页面查看当前的访问控制策略。
注意事项
正常情况下,NAT边界访问控制策略迁移不会影响您的业务,但如果您的私网ACL配置错误,迁移后可能会导致流量被拦截。建议在业务低峰期进行迁移,降低业务影响。
迁移流程
登录云防火墙控制台。
在左侧导航栏选择,在出向页签中查看您配置的私网ACL。
如果该类型的权限控制策略数量较少(例如不超过20个),您可以自行在页面创建NAT边界防火墙,并在互联网边界页面删除原有访问控制策略。
具体操作,请参见配置NAT边界访问控制策略。
在互联网边界页面删除私网ACL的具体操作,请参见配置互联网边界访问控制策略。
如果该类型的权限控制策略较多(例如超过20个),您需要由云防火墙技术支持为您完成公私网ACL拆分和批量迁移。请提交工单,联系产品技术专家进行咨询。
将私网ACL迁移NAT边界页面后(包含自行创建和由云防火墙技术支持批量迁移),您需要页面检查私网ACL是否符合业务逻辑和安全逻辑。
如果迁移后的私网ACL不符合要求,您需要自行修改私网ACL配置。具体操作,请参见配置NAT边界访问控制策略。
确认迁移后的私网ACL无误后,联系云防火墙技术支持,由云防火墙技术支持为您完成私网ACL切换并生效。
监控流量日志拦截情况,具体操作,请参见日志审计。
如果流量拦截异常,请联系云防火墙技术支持处理。