ALIYUN::CLOUDFW::NatFirewallControlPolicy

ALIYUN::CLOUDFW::NatFirewallControlPolicy类型用于添加NAT防火墙访问控制策略。

语法

{
  "Type": "ALIYUN::CLOUDFW::NatFirewallControlPolicy",
  "Properties": {
    "ApplicationNameList": List,
    "AclAction": String,
    "Destination": String,
    "Description": String,
    "DestinationType": String,
    "Direction": String,
    "NatGatewayId": String,
    "NewOrder": Integer,
    "Proto": String,
    "SourceType": String,
    "Source": String,
    "DestPort": Integer,
    "DestPortType": String,
    "DomainResolveType": Integer,
    "DestPortGroup": String,
    "EndTime": String,
    "IpVersion": Integer,
    "RepeatEndTime": String,
    "RepeatDays": List,
    "RepeatType": String,
    "RepeatStartTime": String,
    "Release": Boolean,
    "StartTime": String
  }
}

属性

属性名称

类型

必须

允许更新

描述

约束

ApplicationNameList

List

访问控制策略支持的应用类型列表。

无。

AclAction

String

安全访问控制策略中访问流量通过云防火墙的方式(动作)。

取值:

  • accept:放行

  • drop:拒绝

  • log:观察

Destination

String

访问控制策略中的目的地址段。

取值:

  • 当 DestinationType 为 net 时,Destination 为目的 CIDR。

    例如:1.2.XX.XX/24

  • 当 DestinationType 为 group 时,Destination 为目的地址簿名称。

    例如:db_group

  • 当 DestinationType 为 domain 时,Destination 为目的域名。

    例如:*.aliyuncs.com

  • 当 DestinationType 为 location 时,Destination 为目的区域。

    例如: ["BJ11", "ZB"]

Description

String

访问控制策略的描述信息。

无。

DestinationType

String

访问控制策略中的目的地址类型。

取值:

  • net:目的网段(CIDR 地址)

  • group:目的地址簿

  • domain:目的域名

Direction

String

访问控制策略的流量方向。

取值:

  • out:内对外流量访问控制

NatGatewayId

String

NAT 网关的实例 ID。

无。

NewOrder

Integer

访问控制策略生效的优先级。

优先级数字从 1 开始顺序递增,优先级数字越小,优先级越高。

Proto

String

访问控制策略中流量访问的安全协议类型。

取值:

  • ANY(表示查询所有协议类型)

  • TCP

  • UDP

  • ICMP

SourceType

String

访问控制策略中的源地址类型。

取值:

  • net:源网段(CIDR 地址)。

  • group:源地址簿。

Source

String

访问控制策略中的源地址。

取值:

  • SourceTypenet时,Source 为源 CIDR 地址。

    例如:10.2.4.0/24。

  • SourceTypegroup时,Source 为源地址簿名称。

    例如:db_group。

DestPort

Integer

访问控制策略中流量访问的目的端口。

取值:

  • 当协议类型为 ICMP 时,DestPort 取值为空。

说明

协议类型为 ICMP 时,不支持对目的端口进行访问控制。

  • 当协议类型为 TCP、UDP 或 ANY 时,并且目的端口类型(DestPortType)为 group 时,DestPort 取值为空。

说明

访问控制策略目的端口类型选择 group(目的端口地址簿)时,您无需设置具体的目的端口号。需要该访问控制策略管控的所有端口会包含在目的端口地址簿中。

  • 当协议类型为 TCP、UDP 或 ANY 时,并且目的端口类型(DestPortType)为 port 时,DestPort 取值为目的端口号。

DestPortType

String

安全访问控制策略中访问流量的目的端口类型。

取值:

  • port:端口。

  • group:端口地址簿。

DomainResolveType

Integer

访问控制策略的域名解析方式。

取值:

  • 0:基于 FQDN。

  • 1:基于 DNS 动态解析。

  • 2:基于 FQDN 与 DNS 动态解析。

DestPortGroup

String

访问控制策略中访问流量的目的端口地址簿名称。

说明

DestPortType 设置为 group 时,您需要设置目的端口地址簿名称。

EndTime

String

访问控制策略的策略有效期的结束时间。

使用秒级时间戳格式表示。必须为整点或半点时间,且大于开始时间至少半小时。

说明

当 RepeatType 为 Permanent 时,EndTime 为空。当 RepeatType 为 None、Daily、Weekly、Monthly 时,EndTime 必须有值,您需要设置结束时间。

IpVersion

Integer

支持的 IP 地址版本。

取值:4(默认):代表 IPv4 地址。

RepeatEndTime

String

访问控制策略的策略有效期的重复结束时间。

例如:23:30,必须为整点或半点时间,且大于重复开始时间至少半小时。

说明

当 RepeatType 为 Permanent、None 时,RepeatEndTime 为空。当 RepeatType 为 Daily、Weekly、Monthly 时,RepeatEndTime 必须有值,您需要设置重复结束时间。

RepeatDays

List

访问控制策略的策略有效期的重复日期集合。

  • 当 RepeatType 为PermanentNoneDaily时,RepeatDays 为空集合。 例如:[]。

  • 当 RepeatType 为 Weekly 时,RepeatDays 不能为空。 例如:[0, 6]。

说明

RepeatType 设置为 Weekly 时,RepeatDays 不允许重复。

  • 当 RepeatType 为Monthly时,RepeatDays 不能为空。 例如:[1, 31]。

说明

RepeatType 设置为 Monthly 时,RepeatDays 不允许重复。

RepeatType

String

访问控制策略的策略有效期的重复类型。

取值:

  • Permanent(默认):总是。

  • None:指定单次时间。

  • Daily:每天。

  • Weekly:每周。

  • Monthly:每月。

RepeatStartTime

String

访问控制策略的策略有效期的重复开始时间。

例如:08:00,必须为整点或半点时间,且小于重复结束时间至少半小时。

说明

当 RepeatType 为 Permanent、None 时,RepeatStartTime 为空。当 RepeatType 为 Daily、Weekly、Monthly 时,RepeatStartTime 必须有值,您需要设置重复开始时间。

Release

Boolean

访问控制策略的启用状态。

策略创建后默认启用该策略。取值:

  • true:启用访问控制策略。

  • false:不启用访问控制策略。

StartTime

String

访问控制策略的策略有效期的开始时间。

使用秒级时间戳格式表示。必须为整点或半点时间,且小于结束时间至少半小时。

说明

当 RepeatType 为 Permanent 时,StartTime 为空。当 RepeatType 为 None、Daily、Weekly、Monthly 时,StartTime 必须有值,您需要设置开始时间。

返回值

Fn::GetAtt

  • AclUuid:安全访问控制策略的唯一标识 ID。

  • Direction:访问控制策略的流量方向。

  • NatGatewayId:NAT 网关的实例 ID。

示例

  • YAML格式

    ROSTemplateFormatVersion: '2015-09-01'
    Parameters:
      NatGateway:
        Type: String
        AssociationProperty: ALIYUN::VPC::NatGateway::NatGatewayId
    Resources:
      ExtensionResource:
        Type: ALIYUN::CLOUDFW::NatFirewallControlPolicy
        Properties:
          AclAction: log
          ApplicationNameList:
            - HTTP
            - HTTPS
          Description: test
          Destination: 200.1.2.0/24
          DestinationType: net
          NatGatewayId:
            Ref: NatGateway
          Proto: TCP
          Source: 10.0.0.0/8
          SourceType: net
          NewOrder: '-1'
          Direction: out
    Outputs:
      AclUuid:
        Description: The unique ID of the access control policy.
        Value:
          Fn::GetAtt:
            - ExtensionResource
            - AclUuid
      Direction:
        Description: The direction of the traffic to which the access control policy applies.
        Value:
          Fn::GetAtt:
            - ExtensionResource
            - Direction
      NatGatewayId:
        Description: The ID of the NAT gateway.
        Value:
          Fn::GetAtt:
            - ExtensionResource
            - NatGatewayId
    
  • JSON格式

    {
      "ROSTemplateFormatVersion": "2015-09-01",
      "Parameters": {
        "NatGateway": {
          "Type": "String",
          "AssociationProperty": "ALIYUN::VPC::NatGateway::NatGatewayId"
        }
      },
      "Resources": {
        "ExtensionResource": {
          "Type": "ALIYUN::CLOUDFW::NatFirewallControlPolicy",
          "Properties": {
            "AclAction": "log",
            "ApplicationNameList": [
              "HTTP",
              "HTTPS"
            ],
            "Description": "test",
            "Destination": "200.1.2.0/24",
            "DestinationType": "net",
            "NatGatewayId": {
              "Ref": "NatGateway"
            },
            "Proto": "TCP",
            "Source": "10.0.0.0/8",
            "SourceType": "net",
            "NewOrder": "-1",
            "Direction": "out"
          }
        }
      },
      "Outputs": {
        "AclUuid": {
          "Description": "The unique ID of the access control policy.",
          "Value": {
            "Fn::GetAtt": [
              "ExtensionResource",
              "AclUuid"
            ]
          }
        },
        "Direction": {
          "Description": "The direction of the traffic to which the access control policy applies.",
          "Value": {
            "Fn::GetAtt": [
              "ExtensionResource",
              "Direction"
            ]
          }
        },
        "NatGatewayId": {
          "Description": "The ID of the NAT gateway.",
          "Value": {
            "Fn::GetAtt": [
              "ExtensionResource",
              "NatGatewayId"
            ]
          }
        }
      }
    }