GA联动云防火墙实现区域级访问控制与加速_全球加速(GA)-阿里云帮助中心

全球化应用需要应对来自全球各地用户的访问，同时需要对所有进出流量统一管控防护。全球加速GA依托阿里云优质BGP带宽和全球传输网络，提供高可靠和高性能的网络加速服务，云防火墙的互联网边界防火墙提供精细化的流量管控和防护能力。通过GA和云防火墙联动，可以有效提升应用的安全性、性能和稳定性。

场景示例

某企业应用部署在美国硅谷，客户端主要集中在中国。该企业面临以下问题：

因跨国公网不稳定，客户端经常出现延迟、抖动、丢包等网络问题。
海外流量中存在较高比例的恶意攻击、爬虫和其他非目标用户的访问，不仅对应用安全有一定威胁，还增加了不必要的流量，导致服务器负载增加，影响整体性能。

为解决以上问题，该企业决定通过GA提升中国地区客户端的访问体验。同时，使用云防火墙的互联网边界访问控制策略功能，拦截海外区域的流量访问。

使用限制

云防火墙的互联网边界防火墙支持防护的公网资产类型包括GA的加速IP（即GA EIP类型），但该加速IP需满足以下条件：

该加速IP所属GA实例必须为标准型实例。
加速IP类型必须为弹性公网IP类型。
该加速IP所属加速地域不能为阿里云POP点。
查看加速地域是否为阿里云POP点，请参见ListAvailableBusiRegions。

前提条件

您的源站服务器已部署了应用服务。
本文以Alibaba Cloud Linux 3操作系统为例，并使用Nginx配置后端HTTP 80服务。
ECS中测试服务的部署命令参考示例
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World ! This is This is the Silicon Valley data center test page." > index.html
```
您已经购买了云防火墙服务。具体操作，请参见购买云防火墙服务。

操作步骤

步骤一：配置GA实例

本文以按量付费的标准型GA实例为例。

在全球加速控制台的标准型实例 > 实例列表列表页面，单击创建标准型按量付费实例。
在实例基础配置配置向导页面，配置基础信息，单击下一步。
在配置加速区域配置向导页面，添加加速地域并为其分配带宽，然后单击下一步。
本文以中国香港地域为例，加速区域添加为中国（香港），公网质量类型均配置为BGP（多线），其他参数可保持默认值或根据实际情况修改。加速区域配置详细信息，请参见添加和管理加速区域。
重要
如果带宽峰值设置过低，可能出现限速从而导致流量被丢弃，请合理规划带宽峰值，确保和业务需求匹配。
在配置监听配置向导页面，配置转发协议与端口，然后单击下一步。
本文场景中，协议配置为HTTP，端口配置为80，其他参数可保持默认值或根据实际情况修改。监听配置详细信息，请参见添加和管理智能路由类型监听。
在配置终端节点组配置向导页面，配置终端节点后端服务，然后单击下一步。
本文场景中，地域选择美国（硅谷），后端服务类型选择自定义IP，后端服务输入源站公网IP，然后阅读并选中数据跨境合规承诺，其他参数可保持默认值或根据实际情况修改。终端节点组配置详细信息，请参见添加和管理智能路由类型监听的终端节点组。
在配置审核配置向导页面，确认全球加速的配置信息，然后单击提交。
可选：创建任务完成后，在创建任务详情列表下方，单击进入实例详情，然后在实例详情页，可选择实例信息、监听、加速区域等页签查看实例配置信息。
例如，GA的加速IP可从加速区域页签下获取。

步骤二：配置云防火墙

在云防火墙控制台的防火墙开关页面，选择互联网边界防火墙页签，在IPv4页签下，找到已创建GA的加速IP，开启公网资产保护。
您可以选择资产类型为GA EIP，并输入GA的实例ID，进行资产筛选。防火墙状态列显示为保护中，表示开启成功。关于开启防火墙开关更多信息，请参见互联网边界防火墙。
在云防火墙控制台的防护配置 > 访问控制 > 互联网边界页面，选择入向页签，并单击创建策略。

在创建入向策略面板，选择自定义创建页签，配置策略，然后单击确定，并根据提示完成地址簿创建。

本文场景中，可参考下表进行配置。您还可以根据实际情况修改，访问控制策略配置详细信息，请参见配置互联网边界访问控制策略。

配置项	说明	本文场景示例值
源类型	网络流量的发起方。您需要选择访问源类型，并根据访问源类型输入发送流量的访问源地址。	区域
访问源	网络流量的发起方。您需要选择访问源类型，并根据访问源类型输入发送流量的访问源地址。	全部国际区域（即中国以外的地区）
目的类型	网络流量的接收方。您需要选择目的类型，并根据目的类型输入接收流量的目的地址。	IP
目的	网络流量的接收方。您需要选择目的类型，并根据目的类型输入接收流量的目的地址。	输入GA的加速IP（后缀/32）
协议类型	传输层协议类型，支持设置为：TCP、UDP、ICMP、ANY。不确定具体协议时可选择ANY。	ANY
端口类型	设置目的端口类型和目的端口。	端口
端口	设置目的端口类型和目的端口。	输入0/0，表示所有端口
应用	设置访问流量的应用类型。	ANY
动作	设置匹配成功的流量在该条策略的放行情况。放行：放行该流量。拒绝：拦截该流量，并且不会提供任何形式的通知信息。观察：该模式下，默认放行流量。观察一段时间后，您可根据需要调整为放行或拒绝。	拒绝
优先级	选择该策略的优先级，默认为最后，表示优先级最低。	最前
策略有效期	设置该策略的有效时间段。策略仅在有效时间段内才可用于匹配流量。	总是
启用状态	设置是否启用策略。如果您创建策略时未启用策略，可以在策略列表中开启策略。	启用

CFW 入向策略.png

步骤三：结果验证

云防火墙访问控制策略生效验证

本文以中国香港地域以及德国（法兰克福）地域的客户端访问为例进行测试。

分别在中国香港地域以及德国（法兰克福）地域客户端，通过浏览器访问GA的加速IP，检查是否可正常访问后端服务。
- 中国香港地域客户端访问GA的加速IP，结果如下：
- 德国（法兰克福）地域的客户端访问GA的加速IP，结果如下：
经验证，云防火墙的互联网边界访问控制策略配置生效，已成功拦截海外区域的流量。
在访问控制策略列表的命中次数/最近命中时间列，查看访问控制策略的命中情况；单击命中次数可跳转到流量日志页面，查看流量细节。
例如，您可以设置查询条件的目的IP为GA的加速IP，应用识别状态为已被策略拦截，查看被拦截的流量细节。
您还可以通过日志审计，查看攻击事件、操作日志等。更多信息，请参见日志审计。
在入侵防御页面的互联网防护页签，可查看防护数据统计和防护明细列表。
例如，您可以在防护明细列表上方输入目的IP为GA的加速IP，进行搜索，查看云防火墙对攻击流量的防护明细。
关于入侵防护能力更多信息，请参见入侵防御。