首页 云防火墙 实践教程 访问控制策略配置示例

访问控制策略配置示例

更新时间: 2023-08-08 14:29:33

本文介绍常见的访问控制策略配置示例,帮您更清楚地了解如何配置互联网边界防火墙、VPC边界防火墙、主机边界防火墙的访问控制策略。

互联网边界防火墙策略配置示例

云防火墙的入方向和出方向流量是指面向互联网的流量,也就是南北向流量。您可以通过云防火墙访问控制功能对南北向的访问控制策略进行自定义配置,从而实现对访问流量的精准控制、保护您的网络安全。关于互联网边界防火墙策略的配置项介绍,请参见互联网边界(出入双向流量)

只允许公网流量访问指定端口的策略(入方向)

示例:ECS(主机)IP地址是10.1.XX.XX,绑定的EIP是200.2.XX.XX/32,需要设置所有公网(0.0.0.0/0)流量只允许访问主机的TCP 80端口。

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择访问控制 > 互联网边界

  3. 入向页签,单击创建策略。在创建入向策略面板的自定义创建页签,配置如下策略。

    1. 配置一条允许所有公网流量访问主机的策略,单击确定

      关键配置项如下:

      配置项

      说明

      示例值

      源类型

      选择访问源的类型。可选项:

      • IP

      • 地址簿

      • 区域(仅入向策略支持选择区域)

      IP

      访问源

      设置访问流量的来源地址:

      • 选择IP作为源类型时,支持输入单个或者多个IP地址,多个IP地址需使用半角逗号(,)隔开,最多可添加2000个IP。

      • 选择地址簿作为源类型时,您可以单击目标地址簿操作列的选择,选择目标地址簿作为访问源

        地址簿是您预先配置的IP地址簿,是多个IP地址段的组合,便于您在配置策略时对多个IP地址管控。每次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。

      • 选择区域(仅入向策略支持选择区域)作为源类型时,您可以在区域下拉框中选择1个区域或者多个区域。目前已支持中国全部区域,以及全部国际区域。

      0.0.0.0/0

      说明

      0.0.0.0/0表示所有公网IP。

      目的类型

      访问流量的目的地址类型。可选择IP地址簿域名区域。其中域名和区域仅出向策略支持。

      IP

      目的

      设置接收流量的目的地址。

      • 目的类型选择IP时,支持输入单个或者多个IP地址,多个IP地址需使用半角逗号(,)隔开,最多可添加2000个IP。

      • 目的类型选择地址簿时,您可单击指定地址簿右侧的选择按钮,选择该地址簿作为目的

      • 目的类型选择域名(仅出向策略支持选择域名)时,云防火墙将自动为您解析该域名地址,并对该解析到的地址进行访问控制。

      • 目的类型选择区域(仅出向策略支持选择区域)时,请您选择流量的目的地址所在的区域。可选中国区域或国际区域。

      200.2.XX.XX/32

      协议类型

      设置该内到外访问流量的协议类型。当前支持配置的协议类型有:TCPUDPICMPANY。不确定具体协议类型时可选择ANY

      TCP

      端口类型

      您可以选择以下端口地址类型:

      • 端口:支持输入单个或者多个端口,多个端口需使用半角逗号(,)隔开,最多可添加2000个端口。

      • 地址簿:是指您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。

      端口

      端口

      设置需要放开或限制的端口。可根据端口类型的配置项,手动输入端口,或者单击指定地址簿右侧的选择,从地址簿中选择预先配置的端口地址簿

      80/80

      应用

      设置该内到外访问流量的应用类型。

      支持多种应用类型,具体应用类型请参见云防火墙控制台的互联网边界防火墙页面。

      协议类型选择TCP时,您可以选择任意应用类型;如选择其他类型协议,应用类型只能设置为ANY

      目的使用域名地址簿或泛域名时,您只能选择HTTP、HTTPS、SMTP、SMTPS或SSL。

      说明

      识别应用依赖应用报文特征(协议识别不依据端口),应用识别失败时,该会话流量会被放行。如果您想拦截未知应用类型的流量,建议您开启互联网边界防火墙严格模式。更多信息,请参见互联网边界防火墙-严格模式

      ANY

      动作

      设置允许或拒绝该流量通过互联网边界防火墙。

      • 放行:允许访问。

      • 拒绝:禁止访问,并且不会提供任何形式的通知信息。

        如果需要拒绝所有访问源访问外部互联网,将访问源地址设置为0.0.0.0/0,动作设置为拒绝,禁止所有未授权的访问。

      • 观察:设置为观察模式后仍允许源到目的访问。观察一段时间后,您可根据需要调整为放行拒绝

      放行

      优先级

      选择该策略的优先级,默认为最后,表示优先级最低。

      • 最前:指访问控制策略生效的优先级最高,最先生效。

      • 最后:指访问控制策略生效的优先级最低,最后生效。

      最前

      启用状态

      设置策略是否启用。

      启用

    2. 配置一条拒绝所有公网流量访问所有主机的策略,单击确定

      参考上述放行策略,配置拒绝策略,关键配置项如下:

      • 目的:0.0.0.0/0

        说明

        0.0.0.0/0表示所有主机的IP地址。

      • 协议类型:ANY

      • 端口:0/0

        说明

        0/0表示主机的所有端口。

      • 应用:ANY

      • 动作:拒绝

      • 优先级:最后

    配置完成后,您需要确认允许外到内流量访问主机的TCP 80端口的策略优先级高于拒绝所有外到内流量访问主机的策略

只允许主机访问指定域名的策略(出方向)

示例:ECS(主机)IP地址是10.1.XX.XX,绑定的EIP是47.100.XX.XX/32,需要设置只允许主机访问www.aliyundoc.com域名。

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择访问控制 > 互联网边界

  3. 出向页签,单击创建策略。在创建出向策略面板的自定义创建页签,配置如下策略。

    1. 配置一条允许主机访问www.aliyundoc.com的策略,单击确定

      关键配置项如下:

      配置项

      说明

      示例值

      源类型

      选择访问源的类型。可选项:

      • IP

      • 地址簿

      • 区域(仅入向策略支持选择区域)

      IP

      访问源

      设置访问流量的来源地址:

      • 选择IP作为源类型时,支持输入单个或者多个IP地址,多个IP地址需使用半角逗号(,)隔开,最多可添加2000个IP。

      • 选择地址簿作为源类型时,您可以单击目标地址簿操作列的选择,选择目标地址簿作为访问源

        地址簿是您预先配置的IP地址簿,是多个IP地址段的组合,便于您在配置策略时对多个IP地址管控。每次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。

      • 选择区域(仅入向策略支持选择区域)作为源类型时,您可以在区域下拉框中选择1个区域或者多个区域。目前已支持中国全部区域,以及全部国际区域。

      47.100.X.X/32

      目的类型

      访问流量的目的地址类型。可选择IP地址簿域名区域。其中域名和区域仅出方向策略支持。

      域名

      目的

      设置接收流量的目的地址。

      • 目的类型选择IP时,支持输入单个或者多个IP地址,多个IP地址需使用半角逗号(,)隔开,最多可添加2000个IP。

      • 目的类型选择地址簿时,您可单击指定地址簿右侧的选择按钮,选择该地址簿作为目的

      • 目的类型选择域名(仅出向策略支持选择域名)时,云防火墙将自动为您解析该域名地址,并对该解析到的地址进行访问控制。

      • 目的类型选择区域(仅出向策略支持选择区域)时,请您选择流量的目的地址所在的区域。可选中国区域或国际区域。

      www.aliyundoc.com

      说明

      您也可以对该域名进行DNS解析,获取到解析后的IP地址。

      协议类型

      设置该内到外访问流量的协议类型。当前支持配置的协议类型有:TCPUDPICMPANY。不确定具体协议类型时可选择ANY

      TCP

      端口类型

      您可以选择以下端口地址类型:

      • 端口:支持输入单个或者多个端口,多个端口需使用半角逗号(,)隔开,最多可添加2000个端口。

      • 地址簿:是指您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。

      端口

      端口

      设置需要放开或限制的端口。可根据端口类型的配置项,手动输入端口,或者单击指定地址簿右侧的选择,从地址簿中选择预先配置的端口地址簿

      0/0

      说明

      0/0表示所有端口。

      应用

      设置该内到外访问流量的应用类型。

      支持多种应用类型,具体应用类型请参见云防火墙控制台的互联网边界防火墙页面。

      协议类型选择TCP时,您可以选择任意应用类型;如选择其他类型协议,应用类型只能设置为ANY

      目的使用域名地址簿或泛域名时,您只能选择HTTP、HTTPS、SMTP、SMTPS或SSL。

      说明

      识别应用依赖应用报文特征(协议识别不依据端口),应用识别失败时,该会话流量会被放行。如果您想拦截未知应用类型的流量,建议您开启互联网边界防火墙严格模式。更多信息,请参见互联网边界防火墙-严格模式

      ANY

      动作

      设置允许或拒绝该流量通过互联网边界防火墙。

      • 放行:允许访问。

      • 拒绝:禁止访问,并且不会提供任何形式的通知信息。

        如果需要拒绝所有访问源访问外部互联网,将访问源地址设置为0.0.0.0/0,动作设置为拒绝,禁止所有未授权的访问。

      • 观察:设置为观察模式后仍允许源到目的访问。观察一段时间后,您可根据需要调整为放行拒绝

      放行

      优先级

      选择该策略的优先级,默认为最后,表示优先级最低。

      • 最前:指访问控制策略生效的优先级最高,最先生效。

      • 最后:指访问控制策略生效的优先级最低,最后生效。

      最前

      启用状态

      设置策略是否启用。

      启用

    2. 配置一条拒绝主机访问所有公网的策略,单击确定

      参考上述放行策略,配置拒绝策略,关键配置项如下:

      • 访问源:47.100.X.X/32

      • 目的:0.0.0.0/0

        说明

        0.0.0.0/0表示所有主机的IP地址。

      • 协议类型:ANY

      • 端口:0/0

        说明

        0/0表示主机的所有端口。

      • 应用:ANY

      • 动作:拒绝

      • 优先级:最后

    配置完成后,请确认允许主机访问www.aliyundoc.com的策略优先级高于拒绝主机访问所有公网的策略

拒绝全部国际区域的访问主机的策略(入方向)

示例:ECS(主机)IP地址是10.1.XX.XX,绑定的EIP是47.100.XX.XX,需要拒绝所有来自国际区域的访问。

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择访问控制 > 互联网边界

  3. 入向页签,单击创建策略。在创建入向策略面板的自定义创建页签,配置如下策略。

    关键配置项如下:

    配置项

    说明

    示例值

    源类型

    选择访问源的类型。可选项:

    • IP

    • 地址簿

    • 区域(仅入向策略支持选择区域)

    区域

    访问源

    设置访问流量的来源地址:

    • 选择IP作为源类型时,支持输入单个或者多个IP地址,多个IP地址需使用半角逗号(,)隔开,最多可添加2000个IP。

    • 选择地址簿作为源类型时,您可以单击目标地址簿操作列的选择,选择目标地址簿作为访问源

      地址簿是您预先配置的IP地址簿,是多个IP地址段的组合,便于您在配置策略时对多个IP地址管控。每次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。

    • 选择区域(仅入向策略支持选择区域)作为源类型时,您可以在区域下拉框中选择1个区域或者多个区域。目前已支持中国全部区域,以及全部国际区域。

    所有需要禁止访问的国际区域

    目的类型

    访问流量的目的地址类型。可选择IP地址簿域名区域。其中域名和区域仅出方向策略支持。

    IP

    目的

    设置接收流量的目的地址。

    • 目的类型选择IP时,支持输入单个或者多个IP地址,多个IP地址需使用半角逗号(,)隔开,最多可添加2000个IP。

    • 目的类型选择地址簿时,您可单击指定地址簿右侧的选择按钮,选择该地址簿作为目的

    • 目的类型选择域名(仅出向策略支持选择域名)时,云防火墙将自动为您解析该域名地址,并对该解析到的地址进行访问控制。

    • 目的类型选择区域(仅出向策略支持选择区域)时,请您选择流量的目的地址所在的区域。可选中国区域或国际区域。

    47.100.XX.XX

    协议类型

    设置该内到外访问流量的协议类型。当前支持配置的协议类型有:TCPUDPICMPANY。不确定具体协议类型时可选择ANY

    ANY

    端口类型

    设置需要放开或限制的端口。可根据端口类型的配置项,手动输入端口,或者单击指定地址簿右侧的选择,从地址簿中选择预先配置的端口地址簿

    端口

    端口

    设置需要放开或限制的端口。可根据端口类型的配置项,手动输入端口,或者单击指定地址簿右侧的选择,从地址簿中选择预先配置的端口地址簿

    0/0

    说明

    0/0表示所有端口。

    应用

    设置该内到外访问流量的应用类型。

    支持多种应用类型,具体应用类型请参见云防火墙控制台的互联网边界防火墙页面。

    协议类型选择TCP时,您可以选择任意应用类型;如选择其他类型协议,应用类型只能设置为ANY

    目的使用域名地址簿或泛域名时,您只能选择HTTP、HTTPS、SMTP、SMTPS或SSL。

    说明

    识别应用依赖应用报文特征(协议识别不依据端口),应用识别失败时,该会话流量会被放行。如果您想拦截未知应用类型的流量,建议您开启互联网边界防火墙严格模式。更多信息,请参见互联网边界防火墙-严格模式

    ANY

    动作

    设置允许或拒绝该流量通过互联网边界防火墙。

    • 放行:允许访问。

    • 拒绝:禁止访问,并且不会提供任何形式的通知信息。

      如果需要拒绝所有访问源访问外部互联网,将访问源地址设置为0.0.0.0/0,动作设置为拒绝,禁止所有未授权的访问。

    • 观察:设置为观察模式后仍允许源到目的访问。观察一段时间后,您可根据需要调整为放行拒绝

    拒绝

    优先级

    选择该策略的优先级,默认为最后,表示优先级最低。

    • 最前:指访问控制策略生效的优先级最高,最先生效。

    • 最后:指访问控制策略生效的优先级最低,最后生效。

    最前

    启用状态

    设置策略是否启用。

    启用

VPC边界防火墙策略配置示例

VPC边界防火墙可用于检测和控制两个VPC间的通信流量,也就是东西向流量。在对两个VPC之间的流量管控时,您需要拒绝可疑流量或恶意流量,或者先放行可信流量,再拒绝其他地址的访问。关于VPC边界防火墙策略的配置项介绍,请参见VPC边界

不同VPC内ECS之间禁止访问

说明

两个VPC同属于一个云企业网,或者已通过高速通道连接,则这两个VPC下部署的ECS之间可以互访。

示例:VPC1和VPC2同属于一个云企业网,VPC1下部署了ECS1实例(10.33.XX.XX/32),VPC2下部署了ECS2实例(10.66.XX.XX/32),需要禁止ECS1访问ECS2。

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择访问控制 > VPC边界

  3. VPC边界页面,单击创建策略

  4. 新增VPC边界防火墙策略对话框,配置如下策略,然后单击确认

    关键配置项如下:

    配置项

    说明

    示例值

    源类型

    访问源地址的类型。可选值:

    • IP地址访问源地址类型为IP地址,需手动输入IP地址段。

    • 地址簿访问源地址类型为地址簿,需从预先设置的地址簿列表中选择一个地址簿。

      说明

      您可以将多个IP设置成一个地址簿,方便您在配置访问控制规则时简化规则。

    IP

    访问源

    发送流量的源地址。

    • 选择IP作为源类型时,该源地址一定要设置成网段。

      说明

      访问源只支持配置一个网段。

    • 选择地址簿作为源类型时,需要从地址簿列表中选择一个地址簿作为访问源。

      说明

      您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。

    10.33.XX.XX/32

    目的类型

    您可以选择以下目的地址类型:

    • IP:目的地址设置为IP地址。

    • 地址簿:目的地址设置为地址簿。

    • 域名:目的地址设置为域名。支持设置为泛域名,例如:*.aliyun.com

    IP

    目的

    设置接收流量的目的地址。

    • 选择IP作为目的类型时,该目的地址一定要设置成网段。

      说明

      目的地址只支持配置一个网段。

    • 选择地址簿作为目的类型时,您可单击指定地址簿操作栏的选择按钮,选择该IP地址簿作为目的地址。

      说明

      您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。

    • 选择域名作为目的类型时,可以配置为域名或泛域名,例如:*.aliyun.com

    10.66.XX.XX/32

    协议类型

    您可选择以下协议:

    • ANY(任何协议)

    • TCP协议

    • UDP协议

    • ICMP协议

    TCP

    端口类型

    您可以选择以下端口类型:

    • 端口:只支持设置单个端口。

    • 地址簿:是指您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。

    端口

    端口

    设置需要放开或限制的端口。可根据端口类型的配置项,手动输入单个端口,或者单击选择,从地址簿中选择预先配置的端口地址簿

    • 您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。

    • 协议选择为ICMP,目的端口配置不生效。协议选择为ANY,对于ICMP流量做访问控制,目的端口配置不生效。

    0/0

    应用

    当前支持配置的应用:ANY、HTTP、HTTPS、Memcache、MongoDB、MQTT、MySQL、RDP、Redis、SMTP、SMTPS、SSH和VNC。

    协议选择TCP时,支持配置不同的应用类型;如选择其他类型协议,应用类型只能设置为ANY

    说明

    识别应用依赖应用报文的特征(协议识别不依据端口);应用识别失败时,该会话流量会被放行。

    ANY

    动作

    允许或拒绝该流量通过VPC边界防火墙。 支持选择以下动作:

    • 放行:表示放行可信流量,允许其访问。

      说明

      VPC边界防火墙默认对所有地址放行。

    • 拒绝:表示阻断可疑或恶意流量,拒绝其访问。并且不会提供任何形式的通知信息。

    • 观察:设置为观察模式后仍允许源到目的访问。观察一段时间后可根据需要调整为放行拒绝

    拦截

主机边界防火墙(ECS实例间)策略配置示例

主机边界防火墙可以对ECS实例间的入流量和出流量进行访问控制,限制ECS实例间的未授权访问。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。关于主机边界防火墙策略的配置项介绍,请参见主机边界(ECS实例间)

同一策略组中ECS实例之间实现互访

说明

如果您通过ECS控制台来设置安全组规则,同一安全组内ECS实例之间默认互通。这一点是云防火墙主机边界防火墙与ECS安全组最明显的区别。

示例:当前策略组sg-test下的存在ECS1和ECS2,ECS1的IP地址是10.33.XX.XX,ECS2的IP地址是10.66.XX.XX。需要实现ECS1和ECS2之间互访。

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择访问控制 > 主机边界

  3. 主机边界防火墙页面,定位到目标策略组,单击操作列的配置策略

  4. 入方向页签,单击创建策略

    配置入方向的放行策略,关键配置项如下:

    配置项

    说明

    示例值

    策略类型

    选择策略类型:

    • 允许:放行相应的访问流量。

    • 拒绝:直接丢弃数据包,不会返回任何回应信息。如果两条策略其他配置都相同,只有策略类型不同,则拒绝策略生效,允许策略不生效。

      说明

      企业策略组不支持拒绝选项。

    允许

    协议类型

    从协议类型列表选择访问流量的协议类型。

    TCP

    端口范围

    输入访问流量使用的端口地址范围。

    0/0

    源类型源对象

    选择访问流量的来源 。策略方向选择入方向时需要设置。您可以选择访问源地址的类型,并根据源类型设置源对象。

    • 地址段访问

      选择该类型后,需要在源对象中手动输入访问源地址段。仅支持设置单个地址段。

    • 策略组

      选择该类型后,需要从源对象的策略组列表,选择一个策略组作为源对象,表示对来自该策略组中所有ECS实例的流量进行管控。

      说明

      企业策略组不支持策略组选项。

    • 源类型:策略组

    • 源对象:sg-test

    目的选择

    选择访问流量的目的地址。策略方向选择入方向时需要设置。可选择的目的地址类型:

    • 全部ECS:表示当前策略组中的所有ECS实例。

    • 地址段访问:选择该类型后,需要输入目的IP或CIDR地址段,表示当前策略组中该地址段对应的ECS实例。

    地址段访问,IP地址段设置为10.66.XX.XX

    说明

    • 如果需要该策略组内的所有ECS实例实现互访,目的选择设置为全部ECS

    • 如果需要该策略组内的部分ECS实例实现互访,目的选择设置为地址段访问,并填写对端ECS的IP地址段。

  5. 如果您是企业安全组,那么也需要配置出方向的放行策略。

    普通安全组出方向默认是放行策略,无需您另外配置。

    您可以参考入方向的策略进行配置,关键配置项如下:

    • 源类型:IP

    • 源对象:10.66.XX.XX

    • IP地址段:10.33.XX.XX

不同策略组中ECS实例之间互访

示例:ECS1和ECS2属于不同的主机边界防火墙策略组,ECS1的IP地址是10.33.XX.XX,ECS2的IP地址是10.66.XX.XX。需要实现ECS1和ECS2互访。

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择访问控制 > 主机边界

  3. 主机边界防火墙页面,定位到ECS1所在的策略组,单击操作列的配置策略

  4. 入方向页签,单击创建策略

    配置入方向的放行策略,关键配置项如下:

    配置项

    说明

    示例值

    策略类型

    选择策略类型:

    • 允许:放行相应的访问流量。

    • 拒绝:直接丢弃数据包,不会返回任何回应信息。如果两条策略其他配置都相同,只有策略类型不同,则拒绝策略生效,允许策略不生效。

      说明

      企业策略组不支持拒绝选项。

    允许

    协议类型

    从协议类型列表选择访问流量的协议类型。

    TCP

    端口范围

    输入访问流量使用的端口地址范围。

    0/0

    源类型源对象

    选择访问流量的来源 。策略方向选择入方向时需要设置。您可以选择访问源地址的类型,并根据源类型设置源对象。

    • 地址段访问

      选择该类型后,需要在源对象中手动输入访问源地址段。仅支持设置单个地址段。

    • 策略组

      选择该类型后,需要从源对象的策略组列表,选择一个策略组作为源对象,表示对来自该策略组中所有ECS实例的流量进行管控。

      说明

      企业策略组不支持策略组选项。

    • 源类型:IP

    • 源对象:10.66.XX.XX

    目的选择

    选择访问流量的目的地址。策略方向选择入方向时需要设置。可选择的目的地址类型:

    • 全部ECS:表示当前策略组中的所有ECS实例。

    • 地址段访问:选择该类型后,需要输入目的IP或CIDR地址段,表示当前策略组中该地址段对应的ECS实例。

    地址段访问,IP地址段设置为10.33.XX.XX

    说明

    • 如果需要sg-test2策略组内的ECS实例访问sg-test1策略组所有ECS,目的选择设置为全部ECS

    • 如果需要sg-test2策略组内的ECS实例访问sg-test1策略组部分ECS,目的选择设置为地址段访问,并填写sg-test1策略组内ECS的IP地址段。

  5. 如果您是企业安全组,那么也需要配置出方向的放行策略。

    普通安全组出方向默认是放行策略,无需您另外配置。

    您可以参考入方向的策略进行配置,关键配置项如下:

    • 源类型:IP

    • 源对象:10.33.XX.XX

    • IP地址段:10.66.XX.XX

  6. 根据上述ECS1的策略配置,配置ECS2入方向和出方向的放行策略。

阿里云首页 云防火墙 相关技术圈