资产和互联网访问流量控制_云防火墙-阿里云帮助中心

开启互联网边界防火墙保护后，如果您未配置访问控制策略，云防火墙在访问控制策略匹配环节中默认放行所有流量。您可以根据业务需要，配置公网资产的出向（内网访问外部互联网）和入向（外部互联网访问您的内部网络）策略，精细化管控公网资产和互联网之间的未授权访问。本文介绍如何配置互联网边界防火墙的访问控制策略。

功能介绍

互联网边界访问控制策略作用于互联网边界防火墙，支持管控公网资产的出向流量（内部网络访问外部互联网）和入向流量（外部互联网访问内部网络）。

防护原理图

互联网边界防火墙的防护原理图如下所示：

防护的资产范围

互联网边界防火墙（南北向）：ECS公网IP、ECS EIP、CLB公网IP、CLB EIP、ALB EIP、NLB EIP、HAVIP、EIP（含L2 EIP）、ENI EIP、NAT EIP、SLB IPv6、ECS IPv6、堡垒机IP资产。。

策略配置方式

云防火墙提供以下访问控制策略配置方式，您可以根据实际需要，配置策略。

自定义访问控制策略：您可以根据业务需求，自定义符合业务场景的策略。
下发智能推荐策略：云防火墙自动学习您的业务的近30日流量情况，结合发现的流量风险，为您推荐多个智能策略，您可以根据需要选择是否下发推荐的智能策略。
下发常用推荐策略：云防火墙内置的推荐策略。如果常用的推荐策略符合您的业务需求，您可以直接下发对应的常用策略。

重要

对于已开放的公网IP，我们会推荐您在云防火墙上放行已开放且有流量的端口，并拒绝所有到其他端口的访问，从而减少资产在互联网的暴露面。

前提条件

已开启互联网边界防火墙开关，并且已开启公网资产保护。具体操作，请参见开启互联网边界防火墙。
云防火墙支持防护的公网资产范围，请参见防护范围。
已购买足够的策略授权规格数。您可以在访问控制 > 互联网边界页面，查看策略的使用规格。关于策略占用规格的计算方法，请参见访问控制策略概述。
如果剩余可用的策略授权规格不足，您可以单击规格升级，购买访问控制全局扩展数量。更多操作，请参见购买云防火墙服务。
如果您需要同时添加多个对象作为访问源地址或目的地址，您可以先添加地址簿。具体操作，请参见地址簿管理。

配置互联网边界策略

自定义访问控制策略

您可以按需自定义互联网边界防火墙的出向策略（内网访问外部互联网）和入向策略（外部互联网访问您的内部网络）。

如果您需要配置放行可信源（包括IP、域名等）、拒绝其他访问源的策略。推荐配置：首先创建一个放行可信源的高优先级策略；再创建一个拒绝所有访问源的低优先级策略。

登录云防火墙控制台。
在左侧导航栏，选择访问控制 > 互联网边界。
在出向或者入向页签，选择需要创建的IP类型（默认创建IPv4类型的策略），然后单击创建策略。
在创建出向策略或者创建入向策略面板，单击自定义创建。

参考以下表格，配置策略详情，然后单击确定。

配置内网访问互联网的流量管控策略（出向策略）

配置项	说明
源类型	网络流量的发起方。您需要选择访问源类型，并根据访问源类型输入发送流量的访问源地址。选择IP类型时，需要输入IP地址段。地址段需要使用标准掩码格式，例如192.168.0.0/16。最多支持输入2000个地址段，多个地址段之间使用半角逗号（,）分隔。如果您同时输入了多个IP地址段，云防火墙会自动将输入的多个地址段创建为地址簿，并在您保存策略配置时提示您设置地址簿名称。选择地址簿类型时，您需要提前创建IP地址簿（IPv4或IPv6）。创建地址簿的具体操作，请参见地址簿管理。
访问源
目的类型	网络流量的接收方。您需要选择目的类型，并根据目的类型输入接收流量的目的地址。选择IP类型时，需要输入IP地址段。地址段需要使用标准掩码格式，例如192.168.0.0/16。最多支持输入2000个地址段，多个地址段之间使用半角逗号（,）分隔。如果您同时输入了多个IP地址段，云防火墙会自动将输入的多个地址段创建为地址簿，并在您保存策略配置时提示您设置地址簿名称。选择地址簿类型时，您需要提前创建IP地址簿（IPv4或IPv6）。创建地址簿的具体操作，请参见地址簿管理。选择域名类型时，需要输入目的域名地址，云防火墙将自动解析该域名地址，并对该解析到的地址进行访问控制。一个域名最多解析500个IP。更多域名解析介绍，请参见域名解析介绍。选择区域类型时，需要选择目的地址所在的区域。可选中国区域或国际区域。
目的
协议类型	传输层协议类型，支持设置为：TCP、UDP、ICMP、ANY。不确定具体协议时可选择ANY。
端口类型	设置目的端口类型和目的端口。选择端口类型时，需要输入端口段。端口段中间通过正斜线（/）分隔，例如22/22、80/88。最多可添加2000个端口段，多个端口段之间使用半角逗号（,）隔开。如果您同时输入了多个端口段，云防火墙会自动将输入的多个端口段创建为地址簿，并在您保存策略配置时提示您设置地址簿名称。地址簿：选择地址簿类型时，您需要提前创建端口地址簿。创建地址簿的具体操作，请参见地址簿管理。
端口
应用	设置访问流量的应用类型。协议类型选择TCP时，应用类型支持选择为HTTP、HTTPS、SMTP、SMTPS、SSL、FTP等。协议类型选择UDP、ICMP或ANY时，应用类型仅允许选择为ANY。目的类型选择域名地址簿或域名时，应用类型仅允许选择为HTTP、HTTPS、SMTP、SMTPS和SSL。说明识别应用依赖应用报文特征（协议识别不依据端口），应用识别失败时，该会话流量会被放行。如果您想拦截未知应用类型的流量，建议您开启互联网边界防火墙严格模式。更多信息，请参见互联网边界防火墙-严格模式。
动作	设置匹配成功的流量在该条策略的放行情况。放行：放行该流量。拒绝：拦截该流量，并且不会提供任何形式的通知信息。观察：该模式下，默认放行流量。观察一段时间后，您可根据需要调整为放行或拒绝。
描述	输入该策略的备注内容，便于您后续查看时能快速区分每个策略的目的。
优先级	选择该策略的优先级，默认为最后，表示优先级最低。最前：指访问控制策略生效的优先级最高，最先生效。最后：指访问控制策略生效的优先级最低，最后生效。
策略有效期	设置该策略的有效时间段。策略仅在有效时间段内才可用于匹配流量。
启用状态	设置是否启用策略。如果您创建策略时未启用策略，可以在策略列表中开启策略。

配置互联网访问内网的流量管控策略（入向策略）

配置项	说明
源类型	网络流量的发起方。您需要选择访问源类型，并根据访问源类型输入发送流量的访问源地址。选择IP类型时，需要输入IP地址段。地址段需要使用标准掩码格式，例如192.168.0.0/16。最多支持输入2000个地址段，多个地址段之间使用半角逗号（,）分隔。如果您同时输入了多个IP地址段，云防火墙会自动将输入的多个地址段创建为地址簿，并在您保存策略配置时提示您设置地址簿名称。选择地址簿类型时，您需要提前创建IP地址簿。创建地址簿的具体操作，请参见地址簿管理。选择区域类型时，需要选择源地址所在的区域。可选中国区域或国际区域。
访问源
目的类型	网络流量的接收方。您需要选择目的类型，并根据目的类型输入接收流量的目的地址。选择IP类型时，需要输入IP地址段。地址段需要使用标准掩码格式，例如192.168.0.0/16。最多支持输入2000个地址段，多个地址段之间使用半角逗号（,）分隔。如果您同时输入了多个IP地址段，云防火墙会自动将输入的多个地址段创建为地址簿，并在您保存策略配置时提示您设置地址簿名称。选择地址簿类型时，您需要提前创建IP地址簿。创建地址簿的具体操作，请参见地址簿管理。选择区域类型时，需要选择目的地址所在的区域。可选中国区域或国际区域。
目的
协议类型	传输层协议类型，支持设置为：TCP、UDP、ICMP、ANY。不确定具体协议时可选择ANY。
端口类型	设置目的端口类型和目的端口。选择端口类型时，需要输入端口段。端口段中间通过正斜线（/）分隔，例如22/22、80/88。最多可添加2000个端口段，多个端口段之间使用半角逗号（,）隔开。如果您同时输入了多个端口段，云防火墙会自动将输入的多个端口段创建为地址簿，并在您保存策略配置时提示您设置地址簿名称。地址簿：选择地址簿类型时，您需要提前创建端口地址簿。创建地址簿的具体操作，请参见地址簿管理。
端口
应用	设置访问流量的应用类型。协议类型选择TCP时，应用类型支持选择为HTTP、HTTPS、SMTP、SMTPS、SSL、FTP等。协议类型选择UDP、ICMP或ANY时，应用类型仅允许选择为ANY。说明识别应用依赖应用报文特征（协议识别不依据端口），应用识别失败时，该会话流量会被放行。如果您想拦截未知应用类型的流量，建议您开启互联网边界防火墙严格模式。更多信息，请参见互联网边界防火墙-严格模式。
动作	设置匹配成功的流量在该条策略的放行情况。放行：放行该流量。拒绝：拦截该流量，并且不会提供任何形式的通知信息。观察：该模式下，默认放行流量。观察一段时间后，您可根据需要调整为放行或拒绝。
描述	输入该策略的备注内容，便于您后续查看时能快速区分每个策略的目的。
优先级	选择该策略的优先级，默认为最后，表示优先级最低。最前：指访问控制策略生效的优先级最高，最先生效。最后：指访问控制策略生效的优先级最低，最后生效。
策略有效期	设置该策略的有效时间段。策略仅在有效时间段内才可用于匹配流量。
启用状态	设置是否启用策略。如果您创建策略时未启用策略，可以在策略列表中开启策略。

下发智能推荐策略

云防火墙自动学习您的业务的近30日流量情况，结合发现的流量风险，为您生成适合于您业务的智能推荐策略。如果智能推荐策略符合您的业务需求，您可以直接下发智能推荐策略。

支持下发出向（内网访问外部互联网）和入向（外部互联网访问您的内部网络）的智能策略。

警告

下发策略操作涉及一定风险，请确保您已完整知悉即将下发的策略内容，再执行下发操作。

查看是否有智能推荐策略

您可以在访问控制 > 互联网边界页面，查看是否有云防火墙生成的智能策略。

在左侧导航栏，选择访问控制 > 互联网边界。
通过以下方式，进入智能策略推荐页面。
- 在策略列表右上角，单击智能策略，然后单击出向页签或入向页签。
- 在出向页签或入向页签，单击创建策略，然后单击智能策略推荐页签。
查看智能推荐策略，在需要下发的策略区域单击下发策略；或者批量选中需要下发的多个策略后，单击批量下发。

下发常用推荐策略

如果云防火墙内置的常用推荐策略符合您的业务需求，您可以直接下发对应的常用策略。

警告

下发策略操作涉及一定风险，请确保您已完整知悉即将下发的策略内容，再执行下发操作。
推荐的常用策略支持忽略，忽略后该常用策略将无法找回，请谨慎操作。如果您将所有的常用策略均已忽略，那常用策略推荐页签也无法显示。

在左侧导航栏，选择访问控制 > 互联网边界。
在出向页签或入向页签，单击创建策略，然后单击常用策略推荐页签。
查看常用推荐策略，在需要下发的策略区域单击下发策略；或者批量选中需要下发的多个策略后，单击批量下发。

后续操作

创建自定义策略后，您可以在访问控制自定义策略列表中，对目标策略进行编辑、删除（支持逐个删除和批量删除）、下载（支持下载自定义策略列表）、复制或移动（移动即修改策略的优先级）。

修改策略优先级

在左侧导航栏，选择访问控制 > 互联网边界。
单击出向页签或入向页签，找到目标策略，然后在操作列单击移动。
根据业务需求，设置策略的优先级，然后单击确定。
访问控制策略的优先级可设置为1~N，其中N为当前已配置的访问控制策略数量。数值越小，优先级越高。优先级修改后，策略原优先级之后的策略优先级都将相应依次递减。

查看策略的命中情况

访问控制策略配置完成后，默认情况下策略立即生效。您可以在访问控制策略列表的命中次数/最近命中时间列，查看访问控制策略的命中情况。

命中次数/最近命中时间列有显示命中次数及时间，表示已有访问流量命中该策略。您可以单击命中次数，跳转到流量日志页面查看详细数据。具体操作，请参见日志审计。

说明

流量日志仅展示最近7天内的流量信息。如果访问控制策略有命中次数，但命中策略是发生在7天前，流量日志列表中的数据将会为空。

下载策略列表

在左侧导航栏，选择访问控制 > 互联网边界。
单击出向页签或入向页签，在策略列表的右上角单击。
等待策略打包完成后，在互联网边界页面右上角单击下载任务管理。
在任务列表面板，选择任务类型，找到需要下载的任务，然后在操作列单击下载。

删除策略

警告

删除策略后，该策略管控的流量将不受云防火墙的访问控制。请谨慎删除。

如果您不再需要某些互联网边界访问控制策略，可以进入访问控制 > 互联网边界页面，在目标策略的操作列，单击图标后选择删除，删除策略。

互联网边界（出入双向流量）