AI 助理
备案控制台
文档
输入文档关键字查找
首页云防火墙云防火墙CFW操作指南防护配置访问控制配置访问控制策略配置互联网边界访问控制策略

配置互联网边界访问控制策略

更新时间:2024-12-09 05:46:51
产品详情
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

开启互联网边界防火墙后,如果您未配置访问控制策略,云防火墙在访问控制策略匹配环节中默认放行所有流量。您可以配置公网资产的出向(内部网络访问外部互联网)策略和入向(外部互联网访问内部网络)策略,避免公网资产和互联网之间的未授权访问。本文介绍如何配置互联网边界防火墙的访问控制策略。

前提条件

  • 已开启互联网边界防火墙开关,并且已开启公网资产保护。具体操作,请参见开启互联网边界防火墙

    云防火墙支持防护的公网资产范围,请参见防护范围

  • 已购买足够的策略授权规格数。您可以在防护配置 > 访问控制 > 互联网边界页面,查看策略的使用规格。关于策略占用规格的计算方法,请参见访问控制策略概述

    如果剩余可用的策略授权规格不足,您可以单击规格升级,购买访问控制全局扩展数量。更多操作,请参见购买云防火墙服务

    image.png

  • 如果您需要同时添加多个对象作为访问源地址或目的地址,您可以先添加地址簿。具体操作,请参见地址簿管理

配置互联网边界访问控制策略

云防火墙提供以下访问控制策略配置方式,您可以根据实际需要,配置策略。

  • 自定义访问控制策略:您可以根据业务需求,自定义符合业务场景的策略。

  • 下发智能推荐策略:云防火墙自动学习您的业务近30日的流量情况,结合发现的流量风险,为您推荐适合您业务的访问控制策略,您可以根据需要选择是否下发推荐的策略。

  • 下发常用推荐策略:云防火墙内置的推荐策略。如果常用的推荐策略符合您的业务需求,您可以直接下发对应的常用策略。

重要

  • 对于已开放的公网IP,我们建议您在云防火墙上放行已开放且有流量的端口,并拒绝所有到其他端口的访问,从而减少资产在互联网的暴露面。

  • 如果您需要配置放行可信源(包括IP、域名等)、拒绝其他访问源的策略。推荐配置:首先创建一个放行可信源的高优先级策略;再创建一个拒绝所有访问源的低优先级策略。

  • 未下发的智能推荐策略和常用推荐策略不会生效。

自定义访问控制策略
下发智能推荐策略
下发常用推荐策略

您可以按需自定义互联网边界防火墙的出向策略(内网访问外部互联网)和入向策略(外部互联网访问您的内部网络)。

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择防护配置 > 访问控制 > 互联网边界

  3. 出向或者入向页签,选择需要创建的IP类型(默认创建IPv4类型的策略),然后单击创建策略

    image.png

  4. 创建出向策略或者创建入向策略面板,单击自定义创建

  5. 参考以下表格,配置策略详情,然后单击确定

    配置内网访问互联网的流量管控策略(出向策略)

    配置项

    说明

    源类型

    网络流量的发起方。您需要选择访问源类型,并根据访问源类型输入发送流量的访问源地址。

    • 选择IP类型时,需要输入IP地址段。地址段需要使用标准掩码格式,例如192.168.0.0/16。最多支持输入2000个地址段,多个地址段之间使用半角逗号(,)分隔。

      如果您同时输入了多个IP地址段,云防火墙会自动将输入的多个地址段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。

    • 选择地址簿类型时,您需要提前创建IP地址簿(IPv4IPv6)。创建地址簿的具体操作,请参见地址簿管理

    访问源

    目的类型

    网络流量的接收方。您需要选择目的类型,并根据目的类型输入接收流量的目的地址。

    • 选择IP类型时,需要输入IP地址段。地址段需要使用标准掩码格式,例如192.168.0.0/16。最多支持输入2000个地址段,多个地址段之间使用半角逗号(,)分隔。

      如果您同时输入了多个IP地址段,云防火墙会自动将输入的多个地址段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。

    • 选择地址簿类型时,您需要提前创建IP地址簿(IPv4IPv6)。创建地址簿的具体操作,请参见地址簿管理

    • 选择域名类型时,您需要选择域名的识别模式。目前提供三种域名的识别模式:

      • 基于FQDN(报文提取Host/SNI):管理HTTP、HTTPS、SMTP、SMTPS、SSL五种协议流量时,建议使用此模式。

      • 基于DNS动态解析:管理HTTP、HTTPS、SMTP、SMTPS、SSL以外的流量时,建议使用此模式。

        重要

        此模式不支持泛域名。

      • 同时基于FQDNDNS动态解析:管理HTTP、HTTPS、SMTP、SMTPS、SSL五种协议流量,但部分或全部流量中未携带 HOST/SNI字段时,建议使用此模式。

        • 重要

        此模式仅在开启ACL引擎管理严格模式时生效。

    • 选择区域类型时,需要选择目的地址所在的区域。可选中国区域或国际区域。

    目的

    协议类型

    传输层协议类型,支持设置为:TCPUDPICMPANY。不确定具体协议时可选择ANY

    端口类型

    设置目的端口类型和目的端口。

    • 选择端口类型时,需要输入端口段。端口段中间通过正斜线(/)分隔,例如22/22、80/88。最多可添加2000个端口段,多个端口段之间使用半角逗号(,)隔开。

      如果您同时输入了多个端口段,云防火墙会自动将输入的多个端口段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。

    • 地址簿:选择地址簿类型时,您需要提前创建端口地址簿。创建地址簿的具体操作,请参见地址簿管理

    端口

    应用

    设置访问流量的应用类型。

    • 协议类型选择TCP时,应用类型支持选择为HTTPHTTPSSMTPSMTPSSSLFTP等。

    • 协议类型选择UDPICMPANY时,应用类型仅允许选择为ANY

    • 目的类型选择域名地址簿或域名时,应用类型仅允许选择为HTTPHTTPSSMTPSMTPSSSL

    • 域名模式使用DNS动态解析时,您可以选择所有应用。

    • 域名模式使用基于FQDN(报文提取Host/SNI)时,您只能选择HTTP、HTTPS、SMTP、SMTPSSSL。

    • 域名模式使用同时基于FQDN(报文提取Host/SNI)与DNS动态解析时,您只能选择HTTP、HTTPS、SMTP、SMTPS、SSL。

    说明

    识别应用依赖应用报文特征(协议识别不依据端口),应用识别失败时,该会话流量会被放行。如果您想拦截未知应用类型的流量,建议您开启互联网边界防火墙严格模式。更多信息,请参见访问控制引擎模式介绍

    动作

    设置匹配成功的流量在该条策略的放行情况。

    • 放行:放行该流量。

    • 拒绝:拦截该流量,并且不会提供任何形式的通知信息。

    • 观察:该模式下,默认放行流量。观察一段时间后,您可根据需要调整为放行拒绝

    描述

    输入该策略的备注内容,便于您后续查看时能快速区分每个策略的目的。

    优先级

    选择该策略的优先级,默认为最后,表示优先级最低。

    • 最前:指访问控制策略生效的优先级最高,最先生效。

    • 最后:指访问控制策略生效的优先级最低,最后生效。

    策略有效期

    设置该策略的有效时间段。策略仅在有效时间段内才可用于匹配流量。

    • 总是

    • 单次时间段:选择单次时间段。

    • 重复周期:选择重复的时间段和生效日期。

      说明

    启用状态

    设置是否启用策略。如果您创建策略时未启用策略,可以在策略列表中开启策略。

    配置互联网访问内网的流量管控策略(入向策略)

    配置项

    说明

    源类型

    网络流量的发起方。您需要选择访问源类型,并根据访问源类型输入发送流量的访问源地址。

    • 选择IP类型时,需要输入IP地址段。地址段需要使用标准掩码格式,例如192.168.0.0/16。最多支持输入2000个地址段,多个地址段之间使用半角逗号(,)分隔。

      如果您同时输入了多个IP地址段,云防火墙会自动将输入的多个地址段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。

    • 选择地址簿类型时,您需要提前创建地址簿。创建地址簿的具体操作,请参见地址簿管理

    • 选择区域类型时,需要选择源地址所在的区域。可选中国区域或国际区域。

    访问源

    目的类型

    网络流量的接收方。您需要选择目的类型,并根据目的类型输入接收流量的目的地址。

    • 选择IP类型时,需要输入IP地址段。地址段需要使用标准掩码格式,例如192.168.0.0/16。最多支持输入2000个地址段,多个地址段之间使用半角逗号(,)分隔。

      如果您同时输入了多个IP地址段,云防火墙会自动将输入的多个地址段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。

    • 选择地址簿类型时,您需要提前创建IP地址簿。创建地址簿的具体操作,请参见地址簿管理

    目的

    协议类型

    传输层协议类型,支持设置为:TCPUDPICMPANY。不确定具体协议时可选择ANY

    端口类型

    设置目的端口类型和目的端口。

    • 选择端口类型时,需要输入端口段。端口段中间通过正斜线(/)分隔,例如22/22、80/88。最多可添加2000个端口段,多个端口段之间使用半角逗号(,)隔开。

      如果您同时输入了多个端口段,云防火墙会自动将输入的多个端口段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。

    • 地址簿:选择地址簿类型时,您需要提前创建端口地址簿。创建地址簿的具体操作,请参见地址簿管理

    端口

    应用

    设置该访问流量的应用类型。

    • 域名模式使用DNS动态解析时,您可以选择所有应用。

    • 域名模式使用基于FQDN(报文提取Host/SNI)时,您只能选择HTTP、HTTPS、SMTP、SMTPSSSL。

    • 域名模式使用同时基于FQDN(报文提取Host/SNI)与DNS动态解析时,您只能选择HTTP、HTTPS、SMTP、SMTPS、SSL。

    • 协议类型选择TCP时,应用类型支持选择为HTTPHTTPSSMTPSMTPSSSLFTP等。

    • 协议类型选择UDPICMPANY时,应用类型仅允许选择为ANY

    说明

    识别应用依赖应用报文特征(协议识别不依据端口),应用识别失败时,该会话流量会被放行。如果您想拦截未知应用类型的流量,建议您开启互联网边界防火墙严格模式。更多信息,请参见访问控制引擎模式介绍

    动作

    设置匹配成功的流量在该条策略的放行情况。

    • 放行:放行该流量。

    • 拒绝:拦截该流量,并且不会提供任何形式的通知信息。

    • 观察:该模式下,默认放行流量。观察一段时间后,您可根据需要调整为放行拒绝

    描述

    输入该策略的备注内容,便于您后续查看时能快速区分每个策略的目的。

    优先级

    选择该策略的优先级,默认为最后,表示优先级最低。

    • 最前:指访问控制策略生效的优先级最高,最先生效。

    • 最后:指访问控制策略生效的优先级最低,最后生效。

    策略有效期

    设置该策略的有效时间段。策略仅在有效时间段内才可用于匹配流量。

    • 总是

    • 单次时间段:选择单次时间段。

    • 重复周期:选择重复的时间段和生效日期。

      说明

    启用状态

    设置是否启用策略。如果您创建策略时未启用策略,可以在策略列表中开启策略。

云防火墙自动学习您的业务近30日的流量情况,结合发现的流量风险,为您推荐适合您业务的访问控制策略。如果智能推荐策略符合您的业务需求,您可以直接下发智能推荐策略。

支持下发出向(内网访问外部互联网)和入向(外部互联网访问您的内部网络)的智能策略。

警告

  • 下发策略操作涉及一定风险,请确保您已完整知悉即将下发的策略内容,再执行下发操作。

  • 推荐的智能策略支持忽略,忽略后该策略将无法找回,请谨慎操作。

查看是否有智能推荐策略

您可以在互联网边界页面,查看是否有云防火墙生成的智能策略。

image.png

  1. 在左侧导航栏,选择防护配置 > 访问控制 > 互联网边界

  2. 通过以下方式,进入智能策略推荐页面。

    • 在策略列表右上角,单击智能策略,然后单击出向页签或入向页签。

      image.png

    • 出向页签或入向页签,单击创建策略,然后单击智能策略推荐页签。

  3. 查看智能推荐策略,在需要下发的策略区域单击下发策略;或者批量选中需要下发的多个策略后,单击批量下发

如果云防火墙内置的常用推荐策略符合您的业务需求,您可以直接下发对应的常用策略。

警告

  • 下发策略操作涉及一定风险,请确保您已完整知悉即将下发的策略内容,再执行下发操作。

  • 推荐的常用策略支持忽略,忽略后该策略将无法找回,请谨慎操作。如果您将所有的常用策略均已忽略,那常用推荐策略页签也无法显示。

  1. 在左侧导航栏,选择防护配置 > 访问控制 > 互联网边界

  2. 出向页签或入向页签,单击创建策略,然后单击常用策略推荐页签。

  3. 查看常用推荐策略,在需要下发的策略区域单击一键下发

配置ACL引擎模式

配置访问控制策略后,互联网边界防火墙的ACL引擎模式默认为宽松模式。该模式下,如果出现未识别应用或域名的业务流量时,为了不影响业务,云防火墙默认放行这部分流量。您可以根据实际业务需要切换为严格模式

  1. 防护配置 > 访问控制 > 互联网边界页面,单击访问控制策略列表右上方ACL引擎管理

  2. ACL引擎管理-互联网边界防火墙面板,定位到引擎模式,单击修改

  3. 修改引擎模式对话框,选择引擎模式,然后单击确定

    • 严格模式:开启严格模式后,针对未识别应用或域名的流量将严格匹配所配置的策略,如果有配置拒绝策略,将拒绝未识别流量业务访问。

    • 宽松模式:开启宽松模式后,针对未识别应用或域名的业务流量将放行,以优先保证业务。

查看策略的命中情况

业务运行一段时间后,您可以在访问控制策略列表的命中次数/最近命中时间列,查看访问控制策略的命中情况。

单击命中次数可跳转到流量日志页面,查看流量日志。关于如何查看流量日志,请参见日志审计

image.png

相关操作

创建自定义策略后,您可以在访问控制自定义策略列表中,对目标策略进行编辑、删除(支持逐个删除和批量删除)、下载(支持下载自定义策略列表)、复制或移动(移动即修改策略的优先级)。

访问控制策略的优先级可设置为1~N,其中N为当前已配置的访问控制策略数量。数值越小,优先级越高。优先级修改后,策略原优先级之后的策略优先级都将相应依次递减。

重要

删除策略后,该策略管控的流量将不受云防火墙的访问控制。请谨慎删除。

相关文档

上一篇:配置访问控制策略下一篇:配置NAT边界访问控制策略
  • 本页导读 (1)
  • 前提条件
  • 配置互联网边界访问控制策略
  • 配置ACL引擎模式
  • 查看策略的命中情况
  • 相关操作
  • 相关文档