访问控制策略配置示例
本文介绍常见的访问控制策略配置示例,帮您更清楚地了解如何配置互联网边界防火墙、VPC边界防火墙、主机边界防火墙的访问控制策略。
互联网边界防火墙策略配置示例
云防火墙的入方向和出方向流量是指面向互联网的流量,也就是南北向流量。您可以通过云防火墙访问控制功能对南北向的访问控制策略进行自定义配置,从而实现对访问流量的精准控制、保护您的网络安全。关于互联网边界防火墙策略的配置项介绍,请参见互联网边界(出入双向流量)。
只允许公网流量访问指定端口的策略(入方向)
示例:ECS(主机)IP地址是10.1.XX.XX,绑定的EIP是200.2.XX.XX/32,需要设置所有公网(0.0.0.0/0)流量只允许访问主机的TCP 80端口。
登录云防火墙控制台。
在左侧导航栏,选择。
在入向页签,单击创建策略。在创建入向策略面板的自定义创建页签,配置如下策略。
配置一条允许所有公网流量访问主机的策略,单击确定。
关键配置项如下:
配置项
说明
示例值
源类型
网络流量的发起方。您需要选择访问源类型,并根据访问源类型输入发送流量的访问源地址。
选择IP类型时,需要输入IP地址段。地址段需要使用标准掩码格式,例如192.168.0.0/16。最多支持输入2000个地址段,多个地址段之间使用半角逗号(,)分隔。
如果您同时输入了多个IP地址段,云防火墙会自动将输入的多个地址段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。
选择地址簿类型时,您需要提前创建IP地址簿(IPv4或IPv6)。创建地址簿的具体操作,请参见地址簿管理。
选择区域类型时,需要选择源地址所在的区域。可选中国区域或国际区域。
IP
访问源
0.0.0.0/0
说明0.0.0.0/0表示所有公网IP。
目的类型
网络流量的接收方。您需要选择目的类型,并根据目的类型输入接收流量的目的地址。
选择IP类型时,需要输入IP地址段。地址段需要使用标准掩码格式,例如192.168.0.0/16。最多支持输入2000个地址段,多个地址段之间使用半角逗号(,)分隔。
如果您同时输入了多个IP地址段,云防火墙会自动将输入的多个地址段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。
选择地址簿类型时,您需要提前创建IP地址簿(IPv4或IPv6)。创建地址簿的具体操作,请参见地址簿管理。
IP
目的
200.2.XX.XX/32
协议类型
传输层协议类型,支持设置为:TCP、UDP、ICMP、ANY。不确定具体协议时可选择ANY。
TCP
端口类型
设置目的端口类型和目的端口。
选择端口类型时,需要输入端口段。端口段中间通过正斜线(/)分隔,例如22/22、80/88。最多可添加2000个端口段,多个端口段之间使用半角逗号(,)隔开。
如果您同时输入了多个端口段,云防火墙会自动将输入的多个端口段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。
地址簿:选择地址簿类型时,您需要提前创建端口地址簿。创建地址簿的具体操作,请参见地址簿管理。
端口
端口
80/80
应用
设置访问流量的应用类型。
协议类型选择TCP时,应用类型支持选择为HTTP、HTTPS、SMTP、SMTPS、SSL、FTP等。
协议类型选择UDP、ICMP或ANY时,应用类型仅允许选择为ANY。
目的类型选择域名地址簿或域名时,应用类型仅允许选择为HTTP、HTTPS、SMTP、SMTPS和SSL。
说明识别应用依赖应用报文特征(协议识别不依据端口),应用识别失败时,该会话流量会被放行。如果您想拦截未知应用类型的流量,建议您开启互联网边界防火墙严格模式。更多信息,请参见互联网边界防火墙-严格模式。
ANY
动作
设置匹配成功的流量在该条策略的放行情况。
放行:放行该流量。
拒绝:拦截该流量,并且不会提供任何形式的通知信息。
观察:该模式下,默认放行流量。观察一段时间后,您可根据需要调整为放行或拒绝。
放行
优先级
选择该策略的优先级,默认为最后,表示优先级最低。
最前:指访问控制策略生效的优先级最高,最先生效。
最后:指访问控制策略生效的优先级最低,最后生效。
最前
启用状态
设置是否启用策略。如果您创建策略时未启用策略,可以在策略列表中开启策略。
启用
配置一条拒绝所有公网流量访问所有主机的策略,单击确定。
参考上述放行策略,配置拒绝策略,关键配置项如下:
目的:0.0.0.0/0
说明0.0.0.0/0表示所有主机的IP地址。
协议类型:ANY
端口:0/0
说明0/0表示主机的所有端口。
应用:ANY
动作:拒绝
优先级:最后
配置完成后,您需要确认允许外到内流量访问主机的TCP 80端口的策略优先级高于拒绝所有外到内流量访问主机的策略。
只允许主机访问指定域名的策略(出方向)
示例:ECS(主机)IP地址是10.1.XX.XX,绑定的EIP是47.100.XX.XX/32,需要设置只允许主机访问www.aliyundoc.com域名。
登录云防火墙控制台
在左侧导航栏,选择。
在出向页签,单击创建策略。在创建出向策略面板的自定义创建页签,配置如下策略。
配置一条允许主机访问www.aliyundoc.com的策略,单击确定。
关键配置项如下:
配置项
说明
示例值
源类型
网络流量的发起方。您需要选择访问源类型,并根据访问源类型输入发送流量的访问源地址。
选择IP类型时,需要输入IP地址段。地址段需要使用标准掩码格式,例如192.168.0.0/16。最多支持输入2000个地址段,多个地址段之间使用半角逗号(,)分隔。
如果您同时输入了多个IP地址段,云防火墙会自动将输入的多个地址段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。
选择地址簿类型时,您需要提前创建IP地址簿(IPv4或IPv6)。创建地址簿的具体操作,请参见地址簿管理。
IP
访问源
47.100.X.X/32
目的类型
网络流量的接收方。您需要选择目的类型,并根据目的类型输入接收流量的目的地址。
选择IP类型时,需要输入IP地址段。地址段需要使用标准掩码格式,例如192.168.0.0/16。最多支持输入2000个地址段,多个地址段之间使用半角逗号(,)分隔。
如果您同时输入了多个IP地址段,云防火墙会自动将输入的多个地址段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。
选择地址簿类型时,您需要提前创建IP地址簿(IPv4或IPv6)。创建地址簿的具体操作,请参见地址簿管理。
选择域名类型时,需要输入目的域名地址,云防火墙将自动解析该域名地址,并对该解析到的地址进行访问控制。
一个域名最多解析500个IP。更多域名解析介绍,请参见访问控制策略总览。
选择区域类型时,需要选择目的地址所在的区域。可选中国区域或国际区域。
域名
目的
www.aliyundoc.com
说明您也可以对该域名进行DNS解析,获取到解析后的IP地址。
协议类型
传输层协议类型,支持设置为:TCP、UDP、ICMP、ANY。不确定具体协议时可选择ANY。
TCP
端口类型
设置目的端口类型和目的端口。
选择端口类型时,需要输入端口段。端口段中间通过正斜线(/)分隔,例如22/22、80/88。最多可添加2000个端口段,多个端口段之间使用半角逗号(,)隔开。
如果您同时输入了多个端口段,云防火墙会自动将输入的多个端口段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。
地址簿:选择地址簿类型时,您需要提前创建端口地址簿。创建地址簿的具体操作,请参见地址簿管理。
端口
端口
0/0
说明0/0表示所有端口。
应用
设置访问流量的应用类型。
协议类型选择TCP时,应用类型支持选择为HTTP、HTTPS、SMTP、SMTPS、SSL、FTP等。
协议类型选择UDP、ICMP或ANY时,应用类型仅允许选择为ANY。
目的类型选择域名地址簿或域名时,应用类型仅允许选择为HTTP、HTTPS、SMTP、SMTPS和SSL。
说明识别应用依赖应用报文特征(协议识别不依据端口),应用识别失败时,该会话流量会被放行。如果您想拦截未知应用类型的流量,建议您开启互联网边界防火墙严格模式。更多信息,请参见互联网边界防火墙-严格模式。
ANY
动作
设置匹配成功的流量在该条策略的放行情况。
放行:放行该流量。
拒绝:拦截该流量,并且不会提供任何形式的通知信息。
观察:该模式下,默认放行流量。观察一段时间后,您可根据需要调整为放行或拒绝。
放行
优先级
选择该策略的优先级,默认为最后,表示优先级最低。
最前:指访问控制策略生效的优先级最高,最先生效。
最后:指访问控制策略生效的优先级最低,最后生效。
最前
启用状态
设置是否启用策略。如果您创建策略时未启用策略,可以在策略列表中开启策略。
启用
配置一条拒绝主机访问所有公网的策略,单击确定。
参考上述放行策略,配置拒绝策略,关键配置项如下:
访问源:47.100.X.X/32
目的:0.0.0.0/0
说明0.0.0.0/0表示所有主机的IP地址。
协议类型:ANY
端口:0/0
说明0/0表示主机的所有端口。
应用:ANY
动作:拒绝
优先级:最后
配置完成后,请确认允许主机访问www.aliyundoc.com的策略优先级高于拒绝主机访问所有公网的策略。
拒绝全部国际区域的访问主机的策略(入方向)
示例:ECS(主机)IP地址是10.1.XX.XX,绑定的EIP是47.100.XX.XX,需要拒绝所有来自国际区域的访问。
登录云防火墙控制台
在左侧导航栏,选择。
在入向页签,单击创建策略。在创建入向策略面板的自定义创建页签,配置如下策略。
关键配置项如下:
配置项
说明
示例值
源类型
网络流量的发起方。您需要选择访问源类型,并根据访问源类型输入发送流量的访问源地址。
选择IP类型时,需要输入IP地址段。地址段需要使用标准掩码格式,例如192.168.0.0/16。最多支持输入2000个地址段,多个地址段之间使用半角逗号(,)分隔。
如果您同时输入了多个IP地址段,云防火墙会自动将输入的多个地址段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。
选择地址簿类型时,您需要提前创建IP地址簿(IPv4或IPv6)。创建地址簿的具体操作,请参见地址簿管理。
选择区域类型时,需要选择源地址所在的区域。可选中国区域或国际区域。
区域
访问源
所有需要禁止访问的国际区域
目的类型
网络流量的接收方。您需要选择目的类型,并根据目的类型输入接收流量的目的地址。
选择IP类型时,需要输入IP地址段。地址段需要使用标准掩码格式,例如192.168.0.0/16。最多支持输入2000个地址段,多个地址段之间使用半角逗号(,)分隔。
如果您同时输入了多个IP地址段,云防火墙会自动将输入的多个地址段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。
选择地址簿类型时,您需要提前创建IP地址簿(IPv4或IPv6)。创建地址簿的具体操作,请参见地址簿管理。
IP
目的
47.100.XX.XX
协议类型
传输层协议类型,支持设置为:TCP、UDP、ICMP、ANY。不确定具体协议时可选择ANY。
ANY
端口类型
设置目的端口类型和目的端口。
选择端口类型时,需要输入端口段。端口段中间通过正斜线(/)分隔,例如22/22、80/88。最多可添加2000个端口段,多个端口段之间使用半角逗号(,)隔开。
如果您同时输入了多个端口段,云防火墙会自动将输入的多个端口段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。
地址簿:选择地址簿类型时,您需要提前创建端口地址簿。创建地址簿的具体操作,请参见地址簿管理。
端口
端口
0/0
说明0/0表示所有端口。
应用
设置目的端口类型和目的端口。
选择端口类型时,需要输入端口段。端口段中间通过正斜线(/)分隔,例如22/22、80/88。最多可添加2000个端口段,多个端口段之间使用半角逗号(,)隔开。
如果您同时输入了多个端口段,云防火墙会自动将输入的多个端口段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。
地址簿:选择地址簿类型时,您需要提前创建端口地址簿。创建地址簿的具体操作,请参见地址簿管理。
ANY
动作
设置匹配成功的流量在该条策略的放行情况。
放行:放行该流量。
拒绝:拦截该流量,并且不会提供任何形式的通知信息。
观察:该模式下,默认放行流量。观察一段时间后,您可根据需要调整为放行或拒绝。
拒绝
优先级
选择该策略的优先级,默认为最后,表示优先级最低。
最前:指访问控制策略生效的优先级最高,最先生效。
最后:指访问控制策略生效的优先级最低,最后生效。
最前
启用状态
设置是否启用策略。如果您创建策略时未启用策略,可以在策略列表中开启策略。
启用
VPC边界防火墙策略配置示例
VPC边界防火墙可用于检测和控制两个VPC间的通信流量,也就是东西向流量。在对两个VPC之间的流量管控时,您需要拒绝可疑流量或恶意流量,或者先放行可信流量,再拒绝其他地址的访问。关于VPC边界防火墙策略的配置项介绍,请参见VPC边界。
不同VPC内ECS之间禁止访问
两个VPC同属于一个云企业网,或者已通过高速通道连接,则这两个VPC下部署的ECS之间可以互访。
示例:VPC1和VPC2同属于一个云企业网,VPC1下部署了ECS1实例(10.33.XX.XX/32),VPC2下部署了ECS2实例(10.66.XX.XX/32),需要禁止ECS1访问ECS2。
登录云防火墙控制台
在左侧导航栏,选择。
在VPC边界页面,单击创建策略。
在新增VPC边界防火墙策略对话框,配置如下策略,然后单击确认。
关键配置项如下:
配置项
说明
示例值
源类型
访问源地址的类型。可选值:
IP地址:访问源地址类型为IP地址,需手动输入IP地址段。
地址簿:访问源地址类型为地址簿,需从预先设置的地址簿列表中选择一个地址簿。
说明您可以将多个IP设置成一个地址簿,方便您在配置访问控制规则时简化规则。
IP
访问源
发送流量的源地址。
选择IP作为源类型时,该源地址一定要设置成网段。
说明访问源只支持配置一个网段。
选择地址簿作为源类型时,需要从地址簿列表中选择一个地址簿作为访问源。
说明您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
10.33.XX.XX/32
目的类型
您可以选择以下目的地址类型:
IP:目的地址设置为IP地址。
地址簿:目的地址设置为地址簿。
域名:目的地址设置为域名。支持设置为泛域名,例如:*.aliyun.com。
IP
目的
设置接收流量的目的地址。
选择IP作为目的类型时,该目的地址一定要设置成网段。
说明目的地址只支持配置一个网段。
选择地址簿作为目的类型时,您可单击指定地址簿操作栏的选择按钮,选择该IP地址簿作为目的地址。
说明您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
选择域名作为目的类型时,可以配置为域名或泛域名,例如:*.aliyun.com。
10.66.XX.XX/32
协议类型
您可选择以下协议:
ANY(任何协议)
TCP协议
UDP协议
ICMP协议
TCP
端口类型
您可以选择以下端口类型:
端口:只支持设置单个端口。
地址簿:是指您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。
端口
端口
设置需要放开或限制的端口。可根据端口类型的配置项,手动输入单个端口,或者单击选择,从地址簿中选择预先配置的端口地址簿。
您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
协议选择为ICMP,目的端口配置不生效。协议选择为ANY,对于ICMP流量做访问控制,目的端口配置不生效。
0/0
应用
当前支持配置的应用:ANY、HTTP、HTTPS、Memcache、MongoDB、MQTT、MySQL、RDP、Redis、SMTP、SMTPS、SSH和VNC。
协议选择TCP时,支持配置不同的应用类型;如选择其他类型协议,应用类型只能设置为ANY。
说明识别应用依赖应用报文的特征(协议识别不依据端口);应用识别失败时,该会话流量会被放行。
ANY
动作
允许或拒绝该流量通过VPC边界防火墙。 支持选择以下动作:
放行:表示放行可信流量,允许其访问。
说明VPC边界防火墙默认对所有地址放行。
拒绝:表示阻断可疑或恶意流量,拒绝其访问。并且不会提供任何形式的通知信息。
观察:设置为观察模式后仍允许源到目的访问。观察一段时间后可根据需要调整为放行或拒绝。
拦截
主机边界防火墙(ECS实例间)策略配置示例
主机边界防火墙可以对ECS实例间的入流量和出流量进行访问控制,限制ECS实例间的未授权访问。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。关于主机边界防火墙策略的配置项介绍,请参见主机边界(ECS实例间)。
同一策略组中ECS实例之间实现互访
如果您通过ECS控制台来设置安全组规则,同一安全组内ECS实例之间默认互通。这一点是云防火墙主机边界防火墙与ECS安全组最明显的区别。
示例:当前策略组sg-test下的存在ECS1和ECS2,ECS1的IP地址是10.33.XX.XX,ECS2的IP地址是10.66.XX.XX。需要实现ECS1和ECS2之间互访。
登录云防火墙控制台。
在左侧导航栏,选择。
在主机边界防火墙页面,定位到目标策略组,单击操作列的配置策略。
在入方向页签,单击创建策略。
配置入方向的放行策略,关键配置项如下:
配置项
说明
示例值
策略类型:
选择策略类型:
允许:放行相应的访问流量。
拒绝:直接丢弃数据包,不会返回任何回应信息。如果两条策略其他配置都相同,只有策略类型不同,则拒绝策略生效,允许策略不生效。
说明企业策略组不支持拒绝选项。
允许
协议类型
从协议类型列表选择访问流量的协议类型。
TCP
端口范围
输入访问流量使用的端口地址范围。
0/0
源类型、源对象
选择访问流量的来源 。策略方向选择入方向时需要设置。您可以选择访问源地址的类型,并根据源类型设置源对象。
地址段访问
选择该类型后,需要在源对象中手动输入访问源地址段。仅支持设置单个地址段。
策略组
选择该类型后,需要从源对象的策略组列表,选择一个策略组作为源对象,表示对来自该策略组中所有ECS实例的流量进行管控。
说明企业策略组不支持策略组选项。
前缀列表
选择该类型后,需要从前缀列表中一个前缀列表,表示对该前缀列表关联的安全组的所有ECS实例的流量进行管控。
源类型:策略组
源对象:sg-test
目的选择
选择访问流量的目的地址。策略方向选择入方向时需要设置。可选择的目的地址类型:
全部ECS:表示当前策略组中的所有ECS实例。
地址段访问:选择该类型后,需要输入目的IP或CIDR地址段,表示当前策略组中该地址段对应的ECS实例。
地址段访问,IP地址段设置为10.66.XX.XX
说明如果需要该策略组内的所有ECS实例实现互访,目的选择设置为全部ECS。
如果需要该策略组内的部分ECS实例实现互访,目的选择设置为地址段访问,并填写对端ECS的IP地址段。
如果您是企业安全组,那么也需要配置出方向的放行策略。
普通安全组出方向默认是放行策略,无需您另外配置。
您可以参考入方向的策略进行配置,关键配置项如下:
源类型:IP
源对象:10.66.XX.XX
IP地址段:10.33.XX.XX
不同策略组中ECS实例之间互访
示例:ECS1和ECS2属于不同的主机边界防火墙策略组,ECS1的IP地址是10.33.XX.XX,ECS2的IP地址是10.66.XX.XX。需要实现ECS1和ECS2互访。
登录云防火墙控制台。
在左侧导航栏,选择。
在主机边界防火墙页面,定位到ECS1所在的策略组,单击操作列的配置策略。
在入方向页签,单击创建策略。
配置入方向的放行策略,关键配置项如下:
配置项
说明
示例值
策略类型
选择策略类型:
允许:放行相应的访问流量。
拒绝:直接丢弃数据包,不会返回任何回应信息。如果两条策略其他配置都相同,只有策略类型不同,则拒绝策略生效,允许策略不生效。
说明企业策略组不支持拒绝选项。
允许
协议类型
从协议类型列表选择访问流量的协议类型。
TCP
端口范围
输入访问流量使用的端口地址范围。
0/0
源类型、源对象
选择访问流量的来源 。策略方向选择入方向时需要设置。您可以选择访问源地址的类型,并根据源类型设置源对象。
地址段访问
选择该类型后,需要在源对象中手动输入访问源地址段。仅支持设置单个地址段。
策略组
选择该类型后,需要从源对象的策略组列表,选择一个策略组作为源对象,表示对来自该策略组中所有ECS实例的流量进行管控。
说明企业策略组不支持策略组选项。
前缀列表
选择该类型后,需要从前缀列表中一个前缀列表,表示对该前缀列表关联的安全组的所有ECS实例的流量进行管控。关于前缀列表的介绍,请参见使用前缀列表提高安全组规则管理的效率。
源类型:IP
源对象:10.66.XX.XX
目的选择
选择访问流量的目的地址。策略方向选择入方向时需要设置。可选择的目的地址类型:
全部ECS:表示当前策略组中的所有ECS实例。
地址段访问:选择该类型后,需要输入目的IP或CIDR地址段,表示当前策略组中该地址段对应的ECS实例。
地址段访问,IP地址段设置为10.33.XX.XX
说明如果需要sg-test2策略组内的ECS实例访问sg-test1策略组所有ECS,目的选择设置为全部ECS。
如果需要sg-test2策略组内的ECS实例访问sg-test1策略组部分ECS,目的选择设置为地址段访问,并填写sg-test1策略组内ECS的IP地址段。
如果您是企业安全组,那么也需要配置出方向的放行策略。
普通安全组出方向默认是放行策略,无需您另外配置。
您可以参考入方向的策略进行配置,关键配置项如下:
源类型:IP
源对象:10.33.XX.XX
IP地址段:10.66.XX.XX
根据上述ECS1的策略配置,配置ECS2入方向和出方向的放行策略。