VPC边界

防护的资产类型

关于VPC边界防护的资产类型，请参见VPC边界防火墙概述。

防护VPC边界原理图

访问控制策略授权规格

查看数据统计

云防火墙为您统展示当前账号下VPC边界访问控制策略的统计信息，方便您快速了解业务流量情况以及规格占用情况。

1. 登录云防火墙控制台。在左侧导航栏，选择访问控制>VPC边界。

2. 在VPC边界页面，您可以查看当前账号下已配置策略数、已占用规格数和版本授权规格、全局扩展规格以及已配置策略在指定时间范围内的拦截、放行和观察的命中情况。

   当版本默认的访问控制规则条目数占用满时，可以通过全局扩展规格条目数来满足访问控制规则的配置。全局扩展规格条目数支持按需升级，您可以单击规格升级，根据实际需求进行升级。

   

配置VPC边界访问控制策略

在对两个VPC之间的流量进行管控时，您需要先拒绝可疑流量或恶意流量，或者先放行可信流量，再拒绝其他地址的访问。关于VPC边界访问控制策略的配置示例，请参见访问控制策略配置示例。

1. 在VPC边界页面，单击创建策略。

2. 在新增VPC边界防火墙策略对话框，参考下表配置访问控制策略。

   配置项	说明
   源类型	访问源地址的类型。可选值： IP地址：访问源地址类型为IP地址，需手动输入IP地址段。 地址簿：访问源地址类型为地址簿，需从预先设置的地址簿列表中选择一个地址簿。 说明 您可以将多个IP设置成一个地址簿，方便您在配置访问控制规则时简化规则。
   访问源	发送流量的源地址。 选择IP作为源类型时，该源地址一定要设置成网段。 说明 访问源只支持配置一个网段。 选择地址簿作为源类型时，需要从地址簿列表中选择一个地址簿作为访问源。 说明 您1次只能选择1个地址簿，如果需要使用多个地址簿，您可以通过新增策略来添加。
   目的类型	您可以选择以下目的地址类型： IP：目的地址设置为IP地址。 地址簿：目的地址设置为地址簿。 域名：目的地址设置为域名。支持设置为泛域名，例如：*.aliyun.com。
   目的	设置接收流量的目的地址。 选择IP作为目的类型时，该目的地址一定要设置成网段。 说明 目的地址只支持配置一个网段。 选择地址簿作为目的类型时，您可单击指定地址簿操作栏的选择按钮，选择该IP地址簿作为目的地址。 说明 您1次只能选择1个地址簿，如果需要使用多个地址簿，您可以通过新增策略来添加。 选择域名作为目的类型时，可以配置为域名或泛域名，例如：*.aliyun.com。
   协议类型	您可选择以下协议： ANY（任何协议） TCP协议 UDP协议 ICMP协议
   端口类型	您可以选择以下端口类型： 端口：只支持设置单个端口。 地址簿：是指您预先配置的端口地址簿，是多个端口的组合，便于您在策略配置时对多个端口进行限制。
   端口	设置需要放开或限制的端口。可根据端口类型的配置项，手动输入单个端口，或者单击选择，从地址簿中选择预先配置的端口地址簿。 说明 您1次只能选择1个地址簿，如果需要使用多个地址簿，您可以通过新增策略来添加。 协议选择为ICMP，目的端口配置不生效。协议选择为ANY，对于ICMP流量做访问控制，目的端口配置不生效。
   应用	设置该访问流量的应用类型。 协议选择TCP时，支持配置不同的应用类型；如选择其他类型协议，应用类型只能设置为ANY。 说明 识别应用依赖应用报文的特征（协议识别不依据端口）；应用识别失败时，该会话流量会被放行。
   动作	设置该流量通过VPC边界防火墙的动作。 放行：表示放行可信流量，允许其访问。 说明 VPC边界防火墙默认对所有地址放行。 拒绝：表示阻断可疑或恶意流量，拒绝其访问。并且不会提供任何形式的通知信息。 观察：设置为观察模式后仍允许源到目的访问。观察一段时间后可根据需要调整为放行或拒绝。
   描述	对访问控制策略进行描述或备注。输入该策略的备注内容，便于您后续查看时能快速区分每条策略的目的。
   优先级	设置访问控制策略的优先级。默认优先级为最后。支持选择以下优先级： 最后：指访问控制策略生效的顺序最低，最后生效。 最前：指访问控制策略生效的顺序最高，最先生效。 说明 云防火墙策略优先级修改后，该策略原优先级之后的策略优先级都将相应依次递减。

3. 单击确定。

   业务运行一段时间后，您可以在访问控制策略列表查看策略的命中次数。单击命中次数可跳转到流量日志页面，查看VPC边界的流量日志。关于如何查看流量日志，请参见日志审计。

相关操作