互联网边界(出入双向流量)
互联网边界防火墙支持对公网资产的出向(内网访问外部互联网)和入向(外部互联网访问您的内部网络)流量访问控制。您可以在云防火墙中配置访问控制策略,限制Web资产和互联网之间的未授权访问。本文介绍如何配置互联网边界防火墙入向和出向的访问控制策略。
防护互联网边界原理图

防护的资产类型
互联网边界防火墙(南北向):ECS公网IP、ECS EIP、CLB公网IP、CLB EIP、ALB EIP、NLB EIP、HAVIP、EIP(含L2 EIP)、ENI EIP、NAT EIP、SLB IPv6、ECS IPv6、堡垒机IP资产。
访问控制策略授权规格
互联网边界防火墙支持IPv4访问控制策略(即策略的访问源IP、目的IP使用IPv4格式)和IPv6访问控制策略(即策略的访问源IP、目的IP使用IPv6格式),各版本默认支持的访问策略授权规格如下。如果默认规格无法满足您的业务需求,可对规格进行扩展,具体扩展规格,请参见包年包月。
各版本互联网边界防火墙基础价格默认包含的访问控制策略授权规格如下:
高级版:默认4,000个。
企业版:默认10,000个。
旗舰版:默认20,000个。
其中,出向目的类型为域名,且应用不为HTTP、HTTPS、SMTP、SMTPS、SSL的策略:不超过200个。
前提条件
已开启互联网边界防火墙开关。如果未开启互联网边界防火墙,那么配置的访问策略将不生效。更多内容,请参见开启互联网边界防火墙。
查看数据统计
云防火墙为您展示当前账号下互联网边界访问控制策略的统计信息。
登录云防火墙控制台。在左侧导航栏,选择访问控制>互联网边界。
在互联网边界页面,您可以查看当前账号下待下发AI智能策略和已配置策略数、已占用规格数和版本授权规格、全局扩展规格以及已配置策略拦截、放行和观察的命中情况。
当版本默认的访问控制规则个数占用满时,可以通过全局扩展规格个数来满足访问控制规则的配置。全局扩展规格个数支持按需升级,您可以单击规格升级,根据实际需求进行升级。
说明已配置策略数=出向策略数+入向策略数
单条策略占用的规格数=源地址个数(IP地址段个数或区域个数)*目的地址个数(IP地址段个数或区域个数或域名个数)*端口段个数*应用数
占用访问控制策略的规格数为每个策略占用规格数的累加值。
配置互联网边界自定义策略
支持创建出向(内网访问外部互联网)和入向(外部互联网访问您的内部网络)的自定义策略。关于互联网边界访问控制策略的配置示例,请参见访问控制策略配置示例。如果您需要配置对可信源IP放行,对其他访问源拒绝的策略。推荐配置如下:
首先创建一个对可信源IP放行的高优先级策略;再创建一个拒绝所有访问源访问外部互联网的低优先级策略。
在互联网边界页面,单击出向或者入向。
在出向或者入向页签,单击创建策略。
在创建出向策略或者创建入向策略面板,单击自定义创建。
参考下表说明,创建访问控制策略。然后单击确定。
配置项
说明
源类型
选择访问源的类型。可选项:
IP
地址簿
区域(仅入向策略支持选择区域)
访问源
设置访问流量的来源地址:
选择IP作为源类型时,输入CIDR标准格式的IP地址段(例如192.168.0.0/16)。最多支持输入2000个对象,多个对象使用半角逗号(,)分隔。
选择地址簿作为源类型时,您可以单击目标地址簿操作列的选择,选择目标地址簿作为访问源。
地址簿是您预先配置的IP地址簿,是多个IP地址段的组合,便于您在配置策略时对多个IP地址管控。每次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
选择区域(仅入向策略支持选择区域)作为源类型时,您可以在区域下拉框中选择1个区域或者多个区域。目前已支持中国全部区域,以及全部国际区域。
目的类型
访问流量的目的地址类型。可选择IP、地址簿、域名、区域。其中域名和区域仅出向策略支持。
目的
设置接收流量的目的地址。
目的类型选择IP时,输入CIDR标准格式的IP地址段(例如192.168.0.0/16)。最多支持输入2000个对象,多个对象使用半角逗号(,)分隔。
目的类型选择地址簿时,您可单击指定地址簿右侧的选择按钮,选择该地址簿作为目的。
目的类型选择域名(仅出向策略支持选择域名)时,云防火墙将自动为您解析该域名地址,并对该解析到的地址进行访问控制。
目的类型选择区域(仅出向策略支持选择区域)时,请您选择流量的目的地址所在的区域。可选中国区域或国际区域。
协议类型
设置该内到外访问流量的协议类型。当前支持配置的协议类型有:TCP、UDP、ICMP、ANY。不确定具体协议类型时可选择ANY。
端口类型
您可以选择以下端口地址类型:
端口:支持输入端口段,最多可添加2000个对象,多个对象需使用半角逗号(,)隔开。
地址簿:是指您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。
端口
设置需要放开或限制的端口。可根据端口类型的配置项,手动输入端口,或者单击指定地址簿右侧的选择,从地址簿中选择预先配置的端口地址簿。
应用
设置该内到外访问流量的应用类型。
支持多种应用类型,具体应用类型请参见云防火墙控制台的互联网边界防火墙页面。
协议类型选择TCP时,您可以选择任意应用类型;如选择其他类型协议,应用类型只能设置为ANY。
目的使用域名地址簿或泛域名时,您只能选择HTTP、HTTPS、SMTP、SMTPS或SSL。
说明识别应用依赖应用报文特征(协议识别不依据端口),应用识别失败时,该会话流量会被放行。如果您想拦截未知应用类型的流量,建议您开启互联网边界防火墙严格模式。更多信息,请参见互联网边界防火墙-严格模式。
动作
设置该流量通过互联网边界防火墙。
放行:允许访问。
拒绝:禁止访问,并且不会提供任何形式的通知信息。
如果需要拒绝所有访问源访问外部互联网,将访问源地址设置为0.0.0.0/0,动作设置为拒绝,禁止所有未授权的访问。
观察:设置为观察模式后仍允许源到目的访问。观察一段时间后,您可根据需要调整为放行或拒绝。
描述
输入该策略的备注内容,便于您后续查看时能快速区分每个策略的目的。
优先级
选择该策略的优先级,默认为最后,表示优先级最低。
最前:指访问控制策略生效的优先级最高,最先生效。
最后:指访问控制策略生效的优先级最低,最后生效。
启用状态
设置策略是否启用。
如果您创建策略时未启用策略,可以在策略列表中开启策略。
如果您输入1个以上的访问源IP、目的IP、端口时,单击确定后会弹出创建地址簿对话框,您需要配置地址簿名称和描述信息。创建地址簿后,新创建的策略会自动应用这些地址簿。关于地址簿配置的详细信息,请参见地址簿管理。
创建自定义策略后,您可以在访问控制自定义策略列表,对目标策略编辑、删除(支持逐个删除和批量删除)、下载(支持下载自定义策略列表)、复制或移动(移动即修改策略的优先级)。优先级修改后,策略原优先级之后的策略优先级都将相应依次递减。
警告删除策略后,该策略管控的流量将不受云防火墙的访问控制。请谨慎删除。
下发智能推荐策略
云防火墙可以自动学习您近30日的流量情况,并结合发现的流量风险,为您推荐多个智能策略,您需要及时在云防火墙控制台查看详细推荐策略,并根据需要选择是否下发推荐的智能策略(使策略生效)。支持下发出向(内网访问外部互联网)和入向(外部互联网访问您的内部网络)的智能策略。
下发策略操作涉及一定风险,请确保您已完整知悉即将下发的策略内容,再执行下发策略操作。
在互联网边界页面,单击出向或者入向。
在出向或者入向页签,单击创建策略。
在创建出向策略或者创建入向策略面板,单击智能策略推荐。
在智能策略推荐页签,单击目标策略右侧的下发策略。
智能策略推荐页签罗列了云防火墙为您推荐的入向或出向的访问控制策略。如果推荐策略数量过多,您可以通过推荐类型和访问目的筛选策略。
对于已开放的公网IP,我们会推荐您在云防火墙上放行已开放且有流量的端口,并拒绝所有到其他端口的访问,从而减小资产对互联网的暴露面。
您也可以勾选多个智能策略,然后单击批量下发,同时下发多个智能策略。
下发常用推荐策略
云防火墙会为您内置常用的策略。如果常用的推荐策略符合您的业务需求,您可以直接下发对应的常用策略。
下发策略操作涉及一定风险,请确保您已完整知悉即将下发的策略内容,再执行下发策略操作。
推荐的常用策略支持忽略,忽略后该常用策略将无法找回,请谨慎操作。如果您将所有的常用策略均已忽略,那常用策略推荐页签也无法显示。
在互联网边界页面,单击出向或者入向。
在出向或者入向页签,单击创建策略。
在创建出向策略或者创建入向策略面板,单击常用策略推荐。
在常用策略推荐页签,单击策略下方的一键下发。
常用策略推荐页签罗列了云防火墙为您推荐的入向或出向常用的访问控制策略。
查看是否有访问流量命中控制策略
访问控制策略配置完成后,默认情况下策略立即生效。
您可以在访问控制策略列表中定位到该新增的策略,如果命中次数/最近命中时间栏有显示对应的命中次数及时间,表示已有访问流量命中该策略。命中次数/最近命中时间是创建策略后,访问流量命中该策略的累计次数和最近一次命中该策略的时间。
您还可以单击命中次数,跳转到流量日志页面。流量日志页面规则名一栏会显示出该流量命中的访问控制策略的名称。
流量日志仅展示最近7天内的流量信息。如果访问控制策略有命中次数,但命中策略是发生在7天前,流量日志列表中的数据将会为空。
出向域名解析
云防火墙针对出向(内网访问互联网)的场景下,支持访问控制策略中选择域名作为目的地址。云防火墙可以对域名进行DNS解析,提供可视化解析地址供您查看,并对该解析到的地址进行访问控制。
云防火墙针对出向访问控制策略进行了升级,通过采用动态DNS解析实现了域名访问控制策略功能的增强。您可实时查看目的域名解析地址,并在解析地址变更时手动更新该地址。
对于DNS域名解析地址的出向访问控制规则(访问流量协议为TCP,应用类型为HTTP、HTTPS、SSL、SMTP、SMTPS的数据除外),DNS解析域名地址后,该域名将被转化成IP地址。该出向规则创建完成后,云防火墙将对域名解析出的IP地址进行防护,一个域名最多解析500个IP。
流量的应用类型为HTTP、SMTP时,云防火墙优先通过host字段来实现域名的访问控制。
流量的应用类型为HTTPS、SMTPS、SSL时,云防火墙优先通过SNI字段来实现域名的访问控制。
除了应用类型为HTTP、HTTPS、SSL、SMTP、SMTPS以外的数据,才支持动态DNS解析的方式实现流量的访问控制(即才能查看到解析后的域名IP地址)。
以下情况不支持DNS域名解析地址的访问控制策略:
入向流量。
目前,仅出向流量的访问控制策略支持DNS域名解析。
目的地址域名为通配符域名(例如:*.example.com)。
目的地址类型为域名地址簿。
金融云和政务云用户。
配置DNS域名解析访问控制策略时,需要关注以下问题:
从ECS访问外部域名地址时,只支持ECS默认配置的DNS解析服务器(即ADNS),不支持用户指定特殊的DNS。也就是说,如果您修改了ECS的DNS服务器地址,则该域名解析访问控制规则将无法生效。
多个域名解析到同一个IP地址,访问控制策略会受影响。
例如:配置一个放行example1.aliyun.com的FTP协议流量的策略。假设example1.aliyun.com域名解析A记录为1.1.XX.XX,那么实际下发到引擎的规则为1.1.XX.XX的FTP协议允许。此时,如果域名example2.aliyun.com的A记录也解析为1.1.XX.XX,那么访问example2.aliyun.com的FTP协议也会被放行。
域名的解析地址有变化时,云防火墙会使用最新的解析地址并自动更新对应的访问控制策略。
如果域名example1.aliyun.com的解析结果由1.1.XX.XX变化为2.2.XX.XX,云防火墙自动更新访问控制策略(即云防火墙会自动应用最新解析的IP地址,确保要拦截或放行的域名指向的实时IP地址都能包含在该访问控制策略内)。策略自动更新的周期为30分钟,也就是说,对于已配置的DNS策略,当解析地址变化时,该策略将于30分钟后生效。
如果您想根据实时变化的解析地址更新您的访问控制策略,可在该策略的编辑页面中单击域名解析,手动触发域名解析来获取最新的解析地址,并单击确定保存策略的更新。