AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 资源编排 开发参考 资源类型 CLOUDFW ALIYUN::CLOUDFW::NatFirewallControlPolicy

ALIYUN::CLOUDFW::NatFirewallControlPolicy

更新时间:
产品详情
我的收藏

ALIYUN::CLOUDFW::NatFirewallControlPolicy类型用于添加NAT防火墙访问控制策略。

语法

{
  "Type": "ALIYUN::CLOUDFW::NatFirewallControlPolicy",
  "Properties": {
    "ApplicationNameList": List,
    "AclAction": String,
    "Destination": String,
    "Description": String,
    "DestinationType": String,
    "Direction": String,
    "NatGatewayId": String,
    "NewOrder": Integer,
    "Proto": String,
    "SourceType": String,
    "Source": String,
    "DestPort": Integer,
    "DestPortType": String,
    "DomainResolveType": Integer,
    "DestPortGroup": String,
    "EndTime": String,
    "IpVersion": Integer,
    "RepeatEndTime": String,
    "RepeatDays": List,
    "RepeatType": String,
    "RepeatStartTime": String,
    "Release": Boolean,
    "StartTime": String
  }
}

属性

属性名称

类型

必须

允许更新

描述

约束

ApplicationNameList

List

访问控制策略支持的应用类型列表。

无。

AclAction

String

安全访问控制策略中访问流量通过云防火墙的方式(动作)。

取值:

  • accept:放行

  • drop:拒绝

  • log:观察

Destination

String

访问控制策略中的目的地址段。

取值:

  • 当 DestinationType 为 net 时,Destination 为目的 CIDR。

    例如:1.2.XX.XX/24

  • 当 DestinationType 为 group 时,Destination 为目的地址簿名称。

    例如:db_group

  • 当 DestinationType 为 domain 时,Destination 为目的域名。

    例如:*.aliyuncs.com

  • 当 DestinationType 为 location 时,Destination 为目的区域。

    例如: ["BJ11", "ZB"]

Description

String

访问控制策略的描述信息。

无。

DestinationType

String

访问控制策略中的目的地址类型。

取值:

  • net:目的网段(CIDR 地址)

  • group:目的地址簿

  • domain:目的域名

Direction

String

访问控制策略的流量方向。

取值:

  • out:内对外流量访问控制

NatGatewayId

String

NAT 网关的实例 ID。

无。

NewOrder

Integer

访问控制策略生效的优先级。

优先级数字从 1 开始顺序递增,优先级数字越小,优先级越高。

Proto

String

访问控制策略中流量访问的安全协议类型。

取值:

  • ANY(表示查询所有协议类型)

  • TCP

  • UDP

  • ICMP

SourceType

String

访问控制策略中的源地址类型。

取值:

  • net:源网段(CIDR 地址)。

  • group:源地址簿。

Source

String

访问控制策略中的源地址。

取值:

  • SourceTypenet时,Source 为源 CIDR 地址。

    例如:10.2.4.0/24。

  • SourceTypegroup时,Source 为源地址簿名称。

    例如:db_group。

DestPort

Integer

访问控制策略中流量访问的目的端口。

取值:

  • 当协议类型为 ICMP 时,DestPort 取值为空。

说明

协议类型为 ICMP 时,不支持对目的端口进行访问控制。

  • 当协议类型为 TCP、UDP 或 ANY 时,并且目的端口类型(DestPortType)为 group 时,DestPort 取值为空。

说明

访问控制策略目的端口类型选择 group(目的端口地址簿)时,您无需设置具体的目的端口号。需要该访问控制策略管控的所有端口会包含在目的端口地址簿中。

  • 当协议类型为 TCP、UDP 或 ANY 时,并且目的端口类型(DestPortType)为 port 时,DestPort 取值为目的端口号。

DestPortType

String

安全访问控制策略中访问流量的目的端口类型。

取值:

  • port:端口。

  • group:端口地址簿。

DomainResolveType

Integer

访问控制策略的域名解析方式。

取值:

  • 0:基于 FQDN。

  • 1:基于 DNS 动态解析。

  • 2:基于 FQDN 与 DNS 动态解析。

DestPortGroup

String

访问控制策略中访问流量的目的端口地址簿名称。

说明

DestPortType 设置为 group 时,您需要设置目的端口地址簿名称。

EndTime

String

访问控制策略的策略有效期的结束时间。

使用秒级时间戳格式表示。必须为整点或半点时间,且大于开始时间至少半小时。

说明

当 RepeatType 为 Permanent 时,EndTime 为空。当 RepeatType 为 None、Daily、Weekly、Monthly 时,EndTime 必须有值,您需要设置结束时间。

IpVersion

Integer

支持的 IP 地址版本。

取值:4(默认):代表 IPv4 地址。

RepeatEndTime

String

访问控制策略的策略有效期的重复结束时间。

例如:23:30,必须为整点或半点时间,且大于重复开始时间至少半小时。

说明

当 RepeatType 为 Permanent、None 时,RepeatEndTime 为空。当 RepeatType 为 Daily、Weekly、Monthly 时,RepeatEndTime 必须有值,您需要设置重复结束时间。

RepeatDays

List

访问控制策略的策略有效期的重复日期集合。

  • 当 RepeatType 为PermanentNoneDaily时,RepeatDays 为空集合。 例如:[]。

  • 当 RepeatType 为 Weekly 时,RepeatDays 不能为空。 例如:[0, 6]。

说明

RepeatType 设置为 Weekly 时,RepeatDays 不允许重复。

  • 当 RepeatType 为Monthly时,RepeatDays 不能为空。 例如:[1, 31]。

说明

RepeatType 设置为 Monthly 时,RepeatDays 不允许重复。

RepeatType

String

访问控制策略的策略有效期的重复类型。

取值:

  • Permanent(默认):总是。

  • None:指定单次时间。

  • Daily:每天。

  • Weekly:每周。

  • Monthly:每月。

RepeatStartTime

String

访问控制策略的策略有效期的重复开始时间。

例如:08:00,必须为整点或半点时间,且小于重复结束时间至少半小时。

说明

当 RepeatType 为 Permanent、None 时,RepeatStartTime 为空。当 RepeatType 为 Daily、Weekly、Monthly 时,RepeatStartTime 必须有值,您需要设置重复开始时间。

Release

Boolean

访问控制策略的启用状态。

策略创建后默认启用该策略。取值:

  • true:启用访问控制策略。

  • false:不启用访问控制策略。

StartTime

String

访问控制策略的策略有效期的开始时间。

使用秒级时间戳格式表示。必须为整点或半点时间,且小于结束时间至少半小时。

说明

当 RepeatType 为 Permanent 时,StartTime 为空。当 RepeatType 为 None、Daily、Weekly、Monthly 时,StartTime 必须有值,您需要设置开始时间。

返回值

Fn::GetAtt

  • AclUuid:安全访问控制策略的唯一标识 ID。

  • Direction:访问控制策略的流量方向。

  • NatGatewayId:NAT 网关的实例 ID。

示例

  • YAML格式 

    ROSTemplateFormatVersion: '2015-09-01'
Parameters:
  NatGateway:
    Type: String
    AssociationProperty: ALIYUN::VPC::NatGateway::NatGatewayId
Resources:
  ExtensionResource:
    Type: ALIYUN::CLOUDFW::NatFirewallControlPolicy
    Properties:
      AclAction: log
      ApplicationNameList:
        - HTTP
        - HTTPS
      Description: test
      Destination: 200.1.2.0/24
      DestinationType: net
      NatGatewayId:
        Ref: NatGateway
      Proto: TCP
      Source: 10.0.0.0/8
      SourceType: net
      NewOrder: '-1'
      Direction: out
Outputs:
  AclUuid:
    Description: The unique ID of the access control policy.
    Value:
      Fn::GetAtt:
        - ExtensionResource
        - AclUuid
  Direction:
    Description: The direction of the traffic to which the access control policy applies.
    Value:
      Fn::GetAtt:
        - ExtensionResource
        - Direction
  NatGatewayId:
    Description: The ID of the NAT gateway.
    Value:
      Fn::GetAtt:
        - ExtensionResource
        - NatGatewayId

  • JSON格式 

    {
  "ROSTemplateFormatVersion": "2015-09-01",
  "Parameters": {
    "NatGateway": {
      "Type": "String",
      "AssociationProperty": "ALIYUN::VPC::NatGateway::NatGatewayId"
    }
  },
  "Resources": {
    "ExtensionResource": {
      "Type": "ALIYUN::CLOUDFW::NatFirewallControlPolicy",
      "Properties": {
        "AclAction": "log",
        "ApplicationNameList": [
          "HTTP",
          "HTTPS"
        ],
        "Description": "test",
        "Destination": "200.1.2.0/24",
        "DestinationType": "net",
        "NatGatewayId": {
          "Ref": "NatGateway"
        },
        "Proto": "TCP",
        "Source": "10.0.0.0/8",
        "SourceType": "net",
        "NewOrder": "-1",
        "Direction": "out"
      }
    }
  },
  "Outputs": {
    "AclUuid": {
      "Description": "The unique ID of the access control policy.",
      "Value": {
        "Fn::GetAtt": [
          "ExtensionResource",
          "AclUuid"
        ]
      }
    },
    "Direction": {
      "Description": "The direction of the traffic to which the access control policy applies.",
      "Value": {
        "Fn::GetAtt": [
          "ExtensionResource",
          "Direction"
        ]
      }
    },
    "NatGatewayId": {
      "Description": "The ID of the NAT gateway.",
      "Value": {
        "Fn::GetAtt": [
          "ExtensionResource",
          "NatGatewayId"
        ]
      }
    }
  }
}
上一篇:ALIYUN::CLOUDFW::Instance下一篇:ALIYUN::CLOUDFW::TrFirewall