VPC边界
VPC边界防火墙可用于检测和控制两个VPC间的通信流量,默认放行所有流量。您可以通过访问控制策略对两个VPC之间的流量进行管控,阻断可疑流量或恶意流量,放行可信流量。本文介绍如何配置VPC边界防火墙的访问控制策略。
防护的资产类型
关于VPC边界防护的资产类型,请参见VPC边界防火墙概述。
防护VPC边界原理图

访问控制策略授权规格
云防火墙企业版和旗舰版支持VPC边界防火墙功能,高级版不支持。不同版本云防火墙实例支持配置的VPC边界防火墙访问控制策略数量有以下限制:
企业版:默认10,000个。
如果无法满足您的业务需求,可以通过ACL全局扩展规格扩展互联网边界防火墙策略授权规格和VPC边界防火墙授权规格。
可扩展范围(共计):0~100,000个
旗舰版:默认20,000个。
如果无法满足您的业务需求,可以通过ACL全局扩展规格扩展互联网边界防火墙策略授权规格和VPC边界防火墙授权规格。
可扩展范围(共计):0~200,000个
前提条件
已创建并开启VPC边界防火墙。只有VPC边界防火墙开关开启后,访问控制策略才能生效。更多内容,请参见配置企业版转发路由器的VPC边界防火墙。
查看数据统计
云防火墙为您统展示当前账号下VPC边界访问控制策略的统计信息,方便您快速了解业务流量情况以及规格占用情况。
登录云防火墙控制台。在左侧导航栏,选择访问控制>VPC边界。
在VPC边界页面,您可以查看当前账号下已配置策略数、已占用规格数和版本授权规格、全局扩展规格以及已配置策略在指定时间范围内的拦截、放行和观察的命中情况。
当版本默认的访问控制规则条目数占用满时,可以通过全局扩展规格条目数来满足访问控制规则的配置。全局扩展规格条目数支持按需升级,您可以单击规格升级,根据实际需求进行升级。
配置VPC边界访问控制策略
在对两个VPC之间的流量进行管控时,您需要先拒绝可疑流量或恶意流量,或者先放行可信流量,再拒绝其他地址的访问。关于VPC边界访问控制策略的配置示例,请参见访问控制策略配置示例。
在VPC边界页面,单击创建策略。
在新增VPC边界防火墙策略对话框,参考下表配置访问控制策略。
配置项
说明
源类型
访问源地址的类型。可选值:
IP地址:访问源地址类型为IP地址,需手动输入IP地址段。
地址簿:访问源地址类型为地址簿,需从预先设置的地址簿列表中选择一个地址簿。
说明您可以将多个IP设置成一个地址簿,方便您在配置访问控制规则时简化规则。
访问源
发送流量的源地址。
选择IP作为源类型时,该源地址一定要设置成网段。
说明访问源只支持配置一个网段。
选择地址簿作为源类型时,需要从地址簿列表中选择一个地址簿作为访问源。
说明您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
目的类型
您可以选择以下目的地址类型:
IP:目的地址设置为IP地址。
地址簿:目的地址设置为地址簿。
域名:目的地址设置为域名。支持设置为泛域名,例如:*.aliyun.com。
目的
设置接收流量的目的地址。
选择IP作为目的类型时,该目的地址一定要设置成网段。
说明目的地址只支持配置一个网段。
选择地址簿作为目的类型时,您可单击指定地址簿操作栏的选择按钮,选择该IP地址簿作为目的地址。
说明您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
选择域名作为目的类型时,可以配置为域名或泛域名,例如:*.aliyun.com。
协议类型
您可选择以下协议:
ANY(任何协议)
TCP协议
UDP协议
ICMP协议
端口类型
您可以选择以下端口类型:
端口:只支持设置单个端口。
地址簿:是指您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。
端口
设置需要放开或限制的端口。可根据端口类型的配置项,手动输入单个端口,或者单击选择,从地址簿中选择预先配置的端口地址簿。
说明您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
协议选择为ICMP,目的端口配置不生效。协议选择为ANY,对于ICMP流量做访问控制,目的端口配置不生效。
应用
设置该访问流量的应用类型。
协议选择TCP时,支持配置不同的应用类型;如选择其他类型协议,应用类型只能设置为ANY。
说明识别应用依赖应用报文的特征(协议识别不依据端口);应用识别失败时,该会话流量会被放行。
动作
设置该流量通过VPC边界防火墙的动作。
放行:表示放行可信流量,允许其访问。
说明VPC边界防火墙默认对所有地址放行。
拒绝:表示阻断可疑或恶意流量,拒绝其访问。并且不会提供任何形式的通知信息。
观察:设置为观察模式后仍允许源到目的访问。观察一段时间后可根据需要调整为放行或拒绝。
描述
对访问控制策略进行描述或备注。输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
优先级
设置访问控制策略的优先级。默认优先级为最后。支持选择以下优先级:
最后:指访问控制策略生效的顺序最低,最后生效。
最前:指访问控制策略生效的顺序最高,最先生效。
说明云防火墙策略优先级修改后,该策略原优先级之后的策略优先级都将相应依次递减。
单击确定。
业务运行一段时间后,您可以在访问控制策略列表查看策略的命中次数。单击命中次数可跳转到流量日志页面,查看VPC边界的流量日志。关于如何查看流量日志,请参见日志审计。
相关操作
创建策略后,您可以在访问控制策略列表,对该策略编辑、删除、复制或移动(移动即修改策略的优先级)。优先级修改后,策略原优先级之后的策略优先级都将相应依次递减。
删除策略后,该策略管控的流量将不受云防火墙的访问控制。请谨慎删除。