互联网边界（出入双向流量）

防护互联网边界原理图

防护的资产类型

互联网边界防火墙（南北向）：ECS公网IP、ECS EIP、CLB公网IP、CLB EIP、ALB EIP、NLB EIP、HAVIP、EIP（含L2 EIP）、ENI EIP、NAT EIP、SLB IPv6、ECS IPv6、堡垒机IP资产。

访问控制策略授权规格

互联网边界防火墙支持IPv4访问控制策略（即策略的访问源IP、目的IP使用IPv4格式）和IPv6访问控制策略（即策略的访问源IP、目的IP使用IPv6格式），各版本默认支持的访问策略授权规格如下。如果默认规格无法满足您的业务需求，可对规格进行扩展，具体扩展规格，请参见包年包月。

前提条件

已开启互联网边界防火墙开关。如果未开启互联网边界防火墙，那么配置的访问策略将不生效。更多内容，请参见开启互联网边界防火墙。

查看数据统计

云防火墙为您展示当前账号下互联网边界访问控制策略的统计信息。

1. 登录云防火墙控制台。在左侧导航栏，选择访问控制>互联网边界。

2. 在互联网边界页面，您可以查看当前账号下待下发AI智能策略和已配置策略数、已占用规格数和版本授权规格、全局扩展规格以及已配置策略拦截、放行和观察的命中情况。

   当版本默认的访问控制规则个数占用满时，可以通过全局扩展规格个数来满足访问控制规则的配置。全局扩展规格个数支持按需升级，您可以单击规格升级，根据实际需求进行升级。

   说明

   已配置策略数=出向策略数+入向策略数

   单条策略占用的规格数=源地址个数（IP地址段个数或区域个数）*目的地址个数（IP地址段个数或区域个数或域名个数）*端口段个数*应用数

   占用访问控制策略的规格数为每个策略占用规格数的累加值。

   

配置互联网边界自定义策略

支持创建出向（内网访问外部互联网）和入向（外部互联网访问您的内部网络）的自定义策略。关于互联网边界访问控制策略的配置示例，请参见访问控制策略配置示例。如果您需要配置对可信源IP放行，对其他访问源拒绝的策略。推荐配置如下：

首先创建一个对可信源IP放行的高优先级策略；再创建一个拒绝所有访问源访问外部互联网的低优先级策略。

1. 在互联网边界页面，单击出向或者入向。

2. 在出向或者入向页签，单击创建策略。

3. 在创建出向策略或者创建入向策略面板，单击自定义创建。

4. 参考下表说明，创建访问控制策略。然后单击确定。

   配置项	说明
   源类型	选择访问源的类型。可选项： IP 地址簿 区域（仅入向策略支持选择区域）
   访问源	设置访问流量的来源地址： 选择IP作为源类型时，输入CIDR标准格式的IP地址段（例如192.168.0.0/16）。最多支持输入2000个对象，多个对象使用半角逗号（,）分隔。 选择地址簿作为源类型时，您可以单击目标地址簿操作列的选择，选择目标地址簿作为访问源。 地址簿是您预先配置的IP地址簿，是多个IP地址段的组合，便于您在配置策略时对多个IP地址管控。每次只能选择1个地址簿，如果需要使用多个地址簿，您可以通过新增策略来添加。 选择区域（仅入向策略支持选择区域）作为源类型时，您可以在区域下拉框中选择1个区域或者多个区域。目前已支持中国全部区域，以及全部国际区域。
   目的类型	访问流量的目的地址类型。可选择IP、地址簿、域名、区域。其中域名和区域仅出向策略支持。
   目的	设置接收流量的目的地址。 目的类型选择IP时，输入CIDR标准格式的IP地址段（例如192.168.0.0/16）。最多支持输入2000个对象，多个对象使用半角逗号（,）分隔。 目的类型选择地址簿时，您可单击指定地址簿右侧的选择按钮，选择该地址簿作为目的。 目的类型选择域名（仅出向策略支持选择域名）时，云防火墙将自动为您解析该域名地址，并对该解析到的地址进行访问控制。 目的类型选择区域（仅出向策略支持选择区域）时，请您选择流量的目的地址所在的区域。可选中国区域或国际区域。
   协议类型	设置该内到外访问流量的协议类型。当前支持配置的协议类型有：TCP、UDP、ICMP、ANY。不确定具体协议类型时可选择ANY。
   端口类型	您可以选择以下端口地址类型： 端口：支持输入端口段，最多可添加2000个对象，多个对象需使用半角逗号（,）隔开。 地址簿：是指您预先配置的端口地址簿，是多个端口的组合，便于您在策略配置时对多个端口进行限制。
   端口	设置需要放开或限制的端口。可根据端口类型的配置项，手动输入端口，或者单击指定地址簿右侧的选择，从地址簿中选择预先配置的端口地址簿。
   应用	设置该内到外访问流量的应用类型。 支持多种应用类型，具体应用类型请参见云防火墙控制台的互联网边界防火墙页面。 协议类型选择TCP时，您可以选择任意应用类型；如选择其他类型协议，应用类型只能设置为ANY。 目的使用域名地址簿或泛域名时，您只能选择HTTP、HTTPS、SMTP、SMTPS或SSL。 说明 识别应用依赖应用报文特征（协议识别不依据端口），应用识别失败时，该会话流量会被放行。如果您想拦截未知应用类型的流量，建议您开启互联网边界防火墙严格模式。更多信息，请参见互联网边界防火墙-严格模式。
   动作	设置该流量通过互联网边界防火墙。 放行：允许访问。 拒绝：禁止访问，并且不会提供任何形式的通知信息。 如果需要拒绝所有访问源访问外部互联网，将访问源地址设置为0.0.0.0/0，动作设置为拒绝，禁止所有未授权的访问。 观察：设置为观察模式后仍允许源到目的访问。观察一段时间后，您可根据需要调整为放行或拒绝。
   描述	输入该策略的备注内容，便于您后续查看时能快速区分每个策略的目的。
   优先级	选择该策略的优先级，默认为最后，表示优先级最低。 最前：指访问控制策略生效的优先级最高，最先生效。 最后：指访问控制策略生效的优先级最低，最后生效。
   启用状态	设置策略是否启用。 如果您创建策略时未启用策略，可以在策略列表中开启策略。

   如果您输入1个以上的访问源IP、目的IP、端口时，单击确定后会弹出创建地址簿对话框，您需要配置地址簿名称和描述信息。创建地址簿后，新创建的策略会自动应用这些地址簿。关于地址簿配置的详细信息，请参见地址簿管理。

   创建自定义策略后，您可以在访问控制自定义策略列表，对目标策略编辑、删除（支持逐个删除和批量删除）、下载（支持下载自定义策略列表）、复制或移动（移动即修改策略的优先级）。优先级修改后，策略原优先级之后的策略优先级都将相应依次递减。

   警告

   删除策略后，该策略管控的流量将不受云防火墙的访问控制。请谨慎删除。

下发智能推荐策略

云防火墙可以自动学习您近30日的流量情况，并结合发现的流量风险，为您推荐多个智能策略，您需要及时在云防火墙控制台查看详细推荐策略，并根据需要选择是否下发推荐的智能策略（使策略生效）。支持下发出向（内网访问外部互联网）和入向（外部互联网访问您的内部网络）的智能策略。

1. 在互联网边界页面，单击出向或者入向。

2. 在出向或者入向页签，单击创建策略。

3. 在创建出向策略或者创建入向策略面板，单击智能策略推荐。

4. 在智能策略推荐页签，单击目标策略右侧的下发策略。

   智能策略推荐页签罗列了云防火墙为您推荐的入向或出向的访问控制策略。如果推荐策略数量过多，您可以通过推荐类型和访问目的筛选策略。

   对于已开放的公网IP，我们会推荐您在云防火墙上放行已开放且有流量的端口，并拒绝所有到其他端口的访问，从而减小资产对互联网的暴露面。

   您也可以勾选多个智能策略，然后单击批量下发，同时下发多个智能策略。

下发常用推荐策略

云防火墙会为您内置常用的策略。如果常用的推荐策略符合您的业务需求，您可以直接下发对应的常用策略。

1. 在互联网边界页面，单击出向或者入向。

2. 在出向或者入向页签，单击创建策略。

3. 在创建出向策略或者创建入向策略面板，单击常用策略推荐。

4. 在常用策略推荐页签，单击策略下方的一键下发。

   常用策略推荐页签罗列了云防火墙为您推荐的入向或出向常用的访问控制策略。

查看是否有访问流量命中控制策略

访问控制策略配置完成后，默认情况下策略立即生效。

您可以在访问控制策略列表中定位到该新增的策略，如果命中次数/最近命中时间栏有显示对应的命中次数及时间，表示已有访问流量命中该策略。命中次数/最近命中时间是创建策略后，访问流量命中该策略的累计次数和最近一次命中该策略的时间。

出向域名解析

云防火墙针对出向（内网访问互联网）的场景下，支持访问控制策略中选择域名作为目的地址。云防火墙可以对域名进行DNS解析，提供可视化解析地址供您查看，并对该解析到的地址进行访问控制。

云防火墙针对出向访问控制策略进行了升级，通过采用动态DNS解析实现了域名访问控制策略功能的增强。您可实时查看目的域名解析地址，并在解析地址变更时手动更新该地址。

对于DNS域名解析地址的出向访问控制规则（访问流量协议为TCP，应用类型为HTTP、HTTPS、SSL、SMTP、SMTPS的数据除外），DNS解析域名地址后，该域名将被转化成IP地址。该出向规则创建完成后，云防火墙将对域名解析出的IP地址进行防护，一个域名最多解析500个IP。