配置互联网边界访问控制策略

自定义访问控制策略

您可以按需自定义互联网边界防火墙的出向策略（内网访问外部互联网）和入向策略（外部互联网访问您的内部网络）。

1. 登录云防火墙控制台。

2. 在左侧导航栏，选择防护配置 > 访问控制 > 策略配置 > 互联网边界。

3. 在出向或者入向页签，选择需要创建的IP类型（默认创建IPv4类型的策略），然后单击创建策略。

   

4. 在创建出向策略或者创建入向策略面板，单击自定义创建。

5. 参考以下表格，配置策略详情，然后单击确定。

   配置内网访问互联网的流量管控策略（出向策略）

   基础配置

   • 源类型：网络流量的发起方。您需要选择访问源类型，并根据类型输入地址。

     • 选择IP类型时，需要输入IP地址段。地址段需要使用标准掩码格式，例如192.168.0.0/16。最多支持输入2000个地址段，多个地址段之间使用半角逗号（,）分隔。

       若同时输入了多个IP地址段，云防火墙会自动将输入的多个地址段创建为地址簿，并在您保存策略配置时提示您设置地址簿名称。

     • 选择地址簿类型时，支持引用自定义IP地址簿或云资产IP地址簿。具体操作，请参见地址簿。

   • 目的类型：网络流量的接收方。您需要选择目的类型，并根据类型输入地址。

     • 选择IP类型时，需要输入IP地址段。地址段需要使用标准掩码格式，例如192.168.0.0/16。最多支持输入2000个地址段，多个地址段之间使用半角逗号（,）分隔。

       如果您同时输入了多个IP地址段，云防火墙会自动将输入的多个地址段创建为地址簿，并在您保存策略配置时提示您设置地址簿名称。

     • 选择地址簿类型时，支持引用IP地址簿与域名地址簿。具体操作，请参见地址簿。

     • 选择域名类型时，需要选择域名的识别模式。目前提供三种域名的识别模式：

       • 基于FQDN（报文提取Host/SNI)：管理HTTP、HTTPS、SMTP、SMTPS、SSL、POPS、IMAPS七种协议流量时，建议使用此模式。

       • 基于DNS动态解析：管理HTTP、HTTPS、SMTP、SMTPS、SSL、POPS、IMAPS以外的流量时，建议使用此模式。

         重要

         此模式不支持泛域名和泛域名地址簿。

       • 同时基于FQDN与DNS动态解析：管理HTTP、HTTPS、SMTP、SMTPS、SSL、POPS、IMAPS七种协议流量，但部分或全部流量中未携带 HOST/SNI字段时，建议使用此模式。

         重要

         此模式仅在开启ACL引擎管理严格模式时生效，且不支持泛域名和泛域名地址簿。

     • 选择区域类型时，需要选择目的地址所在的区域。可选中国区域或国际区域。

   • 网络传输协议：传输层协议类型，支持设置为：TCP、UDP、ICMP、ANY。不确定具体协议时可选择ANY。

   • 应用协议：设置访问流量的应用类型。 不同目的类型和协议类型对应支持的应用不同。

     • 网络传输协议选择TCP时：

       • 目的类型选择IP、IP地址簿或区域：您可以选择全部应用。

       • 目的类型选择域名或域名地址簿：

         • 域名识别模式选择基于FQDN（报文提取Host/SNI)时，仅能选择HTTP、HTTPS、SMTP、SMTPS、SSL、POPS和IMAPS等应用。

         • 域名识别模式选择基于DNS动态解析时，可以选择所有应用。

         • 域名识别模式选择同时基于FQDN（报文提取Host/SNI）与DNS动态解析时，仅能选择HTTP、HTTPS、SMTP、SMTPS、SSL、POPS和IMAPS等应用。

     • 网络传输协议选择UDP时，应用类型支持选择ANY和DNS。

     • 网络传输协议选择ICMP或ANY时，应用类型仅允许选择ANY。

     说明

     识别应用依赖应用报文特征（协议识别不依据端口），应用识别失败时，该会话流量会被放行。如果您想拦截未知应用类型的流量，建议您开启互联网边界防火墙严格模式。更多信息，请参见访问控制引擎模式介绍。

   • 端口：设置目的端口类型和目的端口。

     • 选择端口类型时，需要输入端口段。端口段中间通过正斜线（/）分隔，例如22/22、80/88。最多可添加2000个端口段，多个端口段之间使用半角逗号（,）隔开。

       若同时输入了多个端口段，云防火墙会自动将输入的多个端口段创建为地址簿，并在您保存策略配置时提示您设置地址簿名称。

     • 选择端口簿类型时，需要提前创建端口地址簿。具体操作，请参见地址簿。

   • 动作：设置匹配成功的流量在该条策略的放行情况。

     • 放行：放行该流量。

     • 丢弃：拦截该流量，并且不会提供任何形式的通知信息。

     • 观察：该模式下，默认放行流量。您可通过流量日志的相关字段筛选并观察这部分流量，在观察一段时间后，根据实际需求调整为放行或拒绝。

   高级配置

   Web过滤与应用程序控制：开启对应功能开关后，可引用已创建的Web过滤与应用程序控制模板，实现精细化的应用层流量管控，更多信息，请参见应用程序控制与Web过滤。

   说明

   • 加密流量解密：为了更完整的提取流量中的特征，实施精准的访问控制。建议优先配置TLS检查。具体信息，请参见TLS检查。

   • 流量匹配例外：

     • 若流量已被前置的基础配置规则拦截，将直接跳过Web过滤与应用程序控制规则的匹配。

     • 针对Web过滤规则，若 URL 无法被系统识别，或者遇到未配置 TLS 检查的 HTTPS 流量，将跳过该规则的匹配。

     • 针对应用程序控制规则，若应用无法被系统识别，系统将执行配置中定义的未识别应用动作。

   其他配置

   • 策略优先级：策略的优先级，默认为最后，表示优先级最低。

     • 最前：指访问控制策略生效的优先级最高，最先生效。

     • 最后：指访问控制策略生效的优先级最低，最后生效。

     • 自定义：自定义优先级，最小为1，最大为50，数字越小，优先级越高。

   • 启用状态：设置是否启用策略，仅启用的策略才能生效。

   • 策略有效期：设置该策略的有效时间段。策略仅在有效时间段内才可用于匹配流量。

     • 总是

     • 单次时间段：选择单次时间段。

     • 重复周期：选择重复的时间段和生效日期。

       说明

       • 生效日期的开始时间应小于停止时间，预计策略生效延时3~5分钟。

       • 勾选无限重复，生效结束时间会自动设置为2099.12.31。

       • 相关FAQ：配置策略有效期时，如果重复周期跨天会生效吗？

   • 描述：输入该策略的描述内容，便于您区分每个策略的目的。

   配置互联网访问内网的流量管控策略（入向策略）

   基础配置

   • 源类型：网络流量的发起方。您需要选择访问源类型，并根据类型输入地址。

     • 选择IP类型时，需要输入IP地址段。地址段需要使用标准掩码格式，例如192.168.0.0/16。最多支持输入2000个地址段，多个地址段之间使用半角逗号（,）分隔。

       若同时输入了多个IP地址段，云防火墙会自动将输入的多个地址段创建为地址簿，并在您保存策略配置时提示您设置地址簿名称。

     • 选择地址簿类型时，支持引用自定义IP地址簿、云资产IP地址簿或云服务IP地址簿。具体操作，请参见地址簿。

     • 选择区域类型时，需要选择源地址所在的区域。可选中国区域或国际区域。

   • 目的类型：网络流量的接收方。您需要选择目的类型，并根据类型输入地址。

     • 选择IP类型时，需要输入IP地址段。地址段需要使用标准掩码格式，例如192.168.0.0/16。最多支持输入2000个地址段，多个地址段之间使用半角逗号（,）分隔。

       若同时输入了多个IP地址段，云防火墙会自动将输入的多个地址段创建为地址簿，并在您保存策略配置时提示您设置地址簿名称。

     • 选择地址簿类型时，支持引用自定义IP地址簿或云资产IP地址簿。具体操作，请参见地址簿。

   • 网络传输协议：传输层协议类型，支持设置为：TCP、UDP、ICMP、ANY。不确定具体协议时可选择ANY。

   • 应用协议：设置该访问流量的应用类型。

     • 网络传输协议选择TCP时，应用类型支持选择HTTP、HTTPS、SMTP、SMTPS、SSL、FTP等全部应用。

     • 网络传输协议选择UDP时，应用类型支持选择ANY和DNS。

     • 网络传输协议选择ICMP或ANY时，应用类型仅允许选择ANY。

     说明

     识别应用依赖应用报文特征（协议识别不依据端口），应用识别失败时，该会话流量会被放行。如果您想拦截未知应用类型的流量，建议您开启互联网边界防火墙严格模式。更多信息，请参见访问控制引擎模式介绍。

   • 端口：设置目的端口类型和目的端口。

     • 选择端口类型时，需要输入端口段。端口段中间通过正斜线（/）分隔，例如22/22、80/88。最多可添加2000个端口段，多个端口段之间使用半角逗号（,）隔开。

       如果您同时输入了多个端口段，云防火墙会自动将输入的多个端口段创建为地址簿，并在您保存策略配置时提示您设置地址簿名称。

     • 选择端口簿类型时，需要提前创建端口地址簿。具体操作，请参见地址簿。

   • 动作：设置匹配成功的流量在该条策略的放行情况。

     • 放行：放行该流量。

     • 丢弃：拦截该流量，并且不会提供任何形式的通知信息。

     • 观察：该模式下，默认放行流量。您可通过流量日志的相关字段筛选并观察这部分流量，在观察一段时间后，根据实际需求调整为放行或拒绝。

   其他配置

   • 策略优先级：策略的优先级，默认为最后，表示优先级最低。

     • 最前：指访问控制策略生效的优先级最高，最先生效。

     • 最后：指访问控制策略生效的优先级最低，最后生效。

     • 自定义：自定义优先级，最小为1，最大为50，数字越小，优先级越高。

   • 启用状态：设置是否启用策略，仅启用的策略才能生效。

   • 策略有效期：设置该策略的有效时间段。策略仅在有效时间段内才可用于匹配流量。

     • 总是

     • 单次时间段：选择单次时间段。

     • 重复周期：选择重复的时间段和生效日期。

       说明

       • 生效日期的开始时间应小于停止时间，预计策略生效延时3~5分钟。

       • 勾选无限重复，生效结束时间会自动设置为2099.12.31。

       • 相关FAQ：配置策略有效期时，如果重复周期跨天会生效吗？

   • 描述：输入该策略的描述内容，便于您区分每个策略的目的。

下发智能推荐策略

支持下发出向（内网访问外部互联网）和入向（外部互联网访问您的内部网络）的智能策略。

1. 在左侧导航栏，选择防护配置 > 访问控制 > 策略配置 > 互联网边界。

2. 在策略列表右上角，单击Agent策略生成，进入安全运营Agent页面。

3. 查看智能推荐策略，在需要下发的策略区域单击应用策略。

下发常用推荐策略

1. 在左侧导航栏，选择防护配置 > 访问控制 > 策略配置 > 互联网边界。

2. 在出向页签或入向页签，单击创建策略，然后单击常用策略推荐页签。

3. 查看常用推荐策略，在需要下发的策略区域单击一键下发。