公网资产直接访问互联网,可能会导致核心业务数据泄露、业务系统遭受网络攻击等风险,为此,您可以配置互联网边界访问控制策略,管控公网资产和互联网之间的未授权访问,降低数据泄露风险和资产在互联网的暴露面。本文以配置仅允许主机访问特定网站域名为例,介绍如何设置互联网边界访问控制策略。
场景示例
本文以下图场景为例,您的业务中有一台云服务器ECS(主机),绑定的弹性公网IP为47.100.XX.XX,出于资产安全考虑,您需要配置仅允许主机访问www.aliyun.com网站。
前提条件
配置步骤
登录云防火墙控制台。
在左侧导航栏,选择。
在出向页签,单击创建策略。在创建出向策略面板,单击自定义创建页签。
配置一条允许主机访问www.aliyun.com的高优先级策略和一条拒绝主机访问所有公网的低优先级策略。
配置一条允许主机访问www.aliyun.com的策略,关键配置项如下:
配置项
说明
示例值
源类型
网络流量的发起方。您需要选择访问源类型,并根据访问源类型输入发送流量的访问源地址。
IP
访问源
输入ECS的公网IP地址,本示例为47.100.XX.XX/32
目的类型
网络流量的接收方。您需要选择目的类型,并根据目的类型输入接收流量的目的地址。
域名
目的
输入允许主机访问的网站域名:www.aliyun.com
说明您也可以对该域名进行DNS解析,获取到解析后的IP地址。
协议类型
传输层协议类型,支持设置为:TCP、UDP、ICMP、ANY。不确定具体协议时可选择ANY。
TCP
端口类型
设置目的端口类型和目的端口。
端口
端口
输入0/0,表示所有端口。
应用
设置访问流量的应用类型。
ANY
动作
设置匹配成功的流量在该条策略的放行情况。
放行:放行该流量。
拒绝:拦截该流量,并且不会提供任何形式的通知信息。
观察:该模式下,默认放行流量。观察一段时间后,您可根据需要调整为放行或拒绝。
放行
描述
输入该策略的备注内容,便于您后续查看时能快速区分每个策略的目的。
到www.aliyun.com的放行策略
优先级
选择该策略的优先级,默认为最后,表示优先级最低。
最前
策略有效期
设置该策略的有效时间段。策略仅在有效时间段内才可用于匹配流量。
总是
启用状态
设置是否启用策略。如果您创建策略时未启用策略,可以在策略列表中开启策略。
启用
配置一条拒绝主机访问所有公网IP的策略,关键配置项如下:
访问源:47.100.X.X/32
目的:0.0.0.0/0,表示所有主机的IP地址。
协议类型:ANY
端口:0/0,表示主机的所有端口。
应用:ANY
动作:拒绝
优先级:最后
配置完成后,请确认允许主机访问www.aliyun.com的策略优先级高于拒绝主机访问所有公网的策略。
查看策略的命中情况
访问控制策略配置完成后,默认情况下策略立即生效。您可以在访问控制策略列表的命中次数/最近命中时间列,查看访问控制策略的命中情况。
命中次数/最近命中时间列有显示命中次数及时间,表示已有访问流量命中该策略。您可以单击命中次数,跳转到流量日志页面查看详细数据。具体操作,请参见日志审计。
相关文档
互联网边界访问控制策略的详细配置指导,请参见互联网边界(出入双向流量)。
更多访问控制策略配置原则,请参见访问控制策略配置示例。
更多关于访问控制策略的配置和使用问题,请参见访问控制策略常见问题。
- 本页导读 (1)