互联网边界(出入双向流量)
开启互联网边界防火墙后,如果您未配置访问控制策略,云防火墙在访问控制策略匹配环节中默认放行所有流量。您可以配置公网资产的出向(内部网络访问外部互联网)策略和入向(外部互联网访问内部网络)策略,避免公网资产和互联网之间的未授权访问。本文介绍如何配置互联网边界防火墙的访问控制策略。
功能介绍
互联网边界访问控制策略作用于互联网边界防火墙,支持管控公网资产的出向流量(内部网络访问外部互联网)和入向流量(外部互联网访问内部网络)。防护原理图如下所示:
前提条件
已开启互联网边界防火墙开关,并且已开启公网资产保护。具体操作,请参见开启互联网边界防火墙。
云防火墙支持防护的公网资产范围,请参见防护范围。
已购买足够的策略授权规格数。您可以在访问控制策略概述。
页面,查看策略的使用规格。关于策略占用规格的计算方法,请参见如果剩余可用的策略授权规格不足,您可以单击规格升级,购买访问控制全局扩展数量。更多操作,请参见购买云防火墙服务。
如果您需要同时添加多个对象作为访问源地址或目的地址,您可以先添加地址簿。具体操作,请参见地址簿管理。
配置互联网边界策略
云防火墙提供以下访问控制策略配置方式,您可以根据实际需要,配置策略。
自定义访问控制策略:您可以根据业务需求,自定义符合业务场景的策略。
下发智能推荐策略:云防火墙自动学习您的业务近30日的流量情况,结合发现的流量风险,为您推荐适合您业务的访问控制策略,您可以根据需要选择是否下发推荐的策略。
下发常用推荐策略:云防火墙内置的推荐策略。如果常用的推荐策略符合您的业务需求,您可以直接下发对应的常用策略。
对于已开放的公网IP,我们建议您在云防火墙上放行已开放且有流量的端口,并拒绝所有到其他端口的访问,从而减少资产在互联网的暴露面。
如果您需要配置放行可信源(包括IP、域名等)、拒绝其他访问源的策略。推荐配置:首先创建一个放行可信源的高优先级策略;再创建一个拒绝所有访问源的低优先级策略。
未下发的智能推荐策略和常用推荐策略不会生效。
自定义访问控制策略
您可以按需自定义互联网边界防火墙的出向策略(内网访问外部互联网)和入向策略(外部互联网访问您的内部网络)。
登录云防火墙控制台。
在左侧导航栏,选择。
在出向或者入向页签,选择需要创建的IP类型(默认创建IPv4类型的策略),然后单击创建策略。
在创建出向策略或者创建入向策略面板,单击自定义创建。
参考以下表格,配置策略详情,然后单击确定。
下发智能推荐策略
云防火墙自动学习您的业务近30日的流量情况,结合发现的流量风险,为您推荐适合您业务的访问控制策略。如果智能推荐策略符合您的业务需求,您可以直接下发智能推荐策略。
支持下发出向(内网访问外部互联网)和入向(外部互联网访问您的内部网络)的智能策略。
下发策略操作涉及一定风险,请确保您已完整知悉即将下发的策略内容,再执行下发操作。
推荐的智能策略支持忽略,忽略后该策略将无法找回,请谨慎操作。
在左侧导航栏,选择。
通过以下方式,进入智能策略推荐页面。
在策略列表右上角,单击智能策略,然后单击出向页签或入向页签。
在出向页签或入向页签,单击创建策略,然后单击智能策略推荐页签。
查看智能推荐策略,在需要下发的策略区域单击下发策略;或者批量选中需要下发的多个策略后,单击批量下发。
下发常用推荐策略
如果云防火墙内置的常用推荐策略符合您的业务需求,您可以直接下发对应的常用策略。
下发策略操作涉及一定风险,请确保您已完整知悉即将下发的策略内容,再执行下发操作。
推荐的常用策略支持忽略,忽略后该策略将无法找回,请谨慎操作。如果您将所有的常用策略均已忽略,那常用策略推荐页签也无法显示。
在左侧导航栏,选择。
在出向页签或入向页签,单击创建策略,然后单击常用策略推荐页签。
查看常用推荐策略,在需要下发的策略区域单击一键下发。
后续操作
创建自定义策略后,您可以在访问控制自定义策略列表中,对目标策略进行编辑、删除(支持逐个删除和批量删除)、下载(支持下载自定义策略列表)、复制或移动(移动即修改策略的优先级)。
修改策略优先级
在左侧导航栏,选择。
单击出向页签或入向页签,找到目标策略,然后在操作列单击移动。
根据业务需求,设置策略的优先级,然后单击确定。
访问控制策略的优先级可设置为1~N,其中N为当前已配置的访问控制策略数量。数值越小,优先级越高。优先级修改后,策略原优先级之后的策略优先级都将相应依次递减。
查看策略的命中情况
访问控制策略配置完成后,默认情况下策略立即生效。您可以在访问控制策略列表的命中次数/最近命中时间列,查看访问控制策略的命中情况。
命中次数/最近命中时间列有显示命中次数及时间,表示已有访问流量命中该策略。您可以单击命中次数,跳转到流量日志页面查看详细数据。具体操作,请参见日志审计。
下载策略列表
在左侧导航栏,选择。
单击出向页签或入向页签,在策略列表的右上角单击
。
等待策略打包完成后,在互联网边界页面右上角单击下载任务管理。
在任务列表面板,选择任务类型,找到需要下载的任务,然后在操作列单击下载。
删除策略
删除策略后,该策略管控的流量将不受云防火墙的访问控制。请谨慎删除。
如果您不再需要某些互联网边界访问控制策略,可以进入图标后选择删除,删除策略。
相关文档
如果您需要管控公网资产和网站域名的访问流量,请参见只允许公网主机访问指定域名的策略配置教程。
如果您需要针对指定区域进行流量访问控制,请参见拒绝海外区域访问主机的策略配置教程。
访问控制策略的工作原理,请参见访问控制策略概述。
更多访问控制策略配置原则,请参见访问控制策略配置示例。
查看及管理访问控制策略中的IP地址簿、端口地址簿、域名地址簿等,请参见地址簿管理。
更多关于访问控制策略的配置和使用问题,请参见访问控制策略常见问题。