ALIYUN::CLOUDFW::NatFirewallControlPolicy_资源编排(ROS)-阿里云帮助中心

ALIYUN::CLOUDFW::NatFirewallControlPolicy类型用于添加NAT防火墙访问控制策略。

语法

{
  "Type": "ALIYUN::CLOUDFW::NatFirewallControlPolicy",
  "Properties": {
    "ApplicationNameList": List,
    "AclAction": String,
    "Destination": String,
    "Description": String,
    "DestinationType": String,
    "Direction": String,
    "NatGatewayId": String,
    "NewOrder": Integer,
    "Proto": String,
    "SourceType": String,
    "Source": String,
    "DestPort": Integer,
    "DestPortType": String,
    "DomainResolveType": Integer,
    "DestPortGroup": String,
    "EndTime": String,
    "IpVersion": Integer,
    "RepeatEndTime": String,
    "RepeatDays": List,
    "RepeatType": String,
    "RepeatStartTime": String,
    "Release": Boolean,
    "StartTime": String
  }
}

属性

属性名称	类型	必须	允许更新	描述	约束
ApplicationNameList	List	是	是	访问控制策略支持的应用类型列表。	无。
AclAction	String	是	是	安全访问控制策略中访问流量通过云防火墙的方式（动作）。	取值： accept：放行 drop：拒绝 log：观察
Destination	String	是	是	访问控制策略中的目的地址段。	取值：当 DestinationType 为 net 时，Destination 为目的 CIDR。例如：1.2.XX.XX/24 当 DestinationType 为 group 时，Destination 为目的地址簿名称。例如：db_group 当 DestinationType 为 domain 时，Destination 为目的域名。例如：*.aliyuncs.com 当 DestinationType 为 location 时，Destination 为目的区域。例如： ["BJ11", "ZB"]
Description	String	是	是	访问控制策略的描述信息。	无。
DestinationType	String	是	是	访问控制策略中的目的地址类型。	取值： net：目的网段（CIDR 地址） group：目的地址簿 domain：目的域名
Direction	String	是	否	访问控制策略的流量方向。	取值： out：内对外流量访问控制
NatGatewayId	String	是	否	NAT 网关的实例 ID。	无。
NewOrder	Integer	是	是	访问控制策略生效的优先级。	优先级数字从 1 开始顺序递增，优先级数字越小，优先级越高。
Proto	String	是	是	访问控制策略中流量访问的安全协议类型。	取值： ANY（表示查询所有协议类型） TCP UDP ICMP
SourceType	String	是	是	访问控制策略中的源地址类型。	取值： net：源网段（CIDR 地址）。 group：源地址簿。
Source	String	是	是	访问控制策略中的源地址。	取值：当SourceType为`net`时，Source 为源 CIDR 地址。例如：10.2.4.0/24。当SourceType为`group`时，Source 为源地址簿名称。例如：db_group。
DestPort	Integer	否	是	访问控制策略中流量访问的目的端口。	取值：当协议类型为 ICMP 时，DestPort 取值为空。说明协议类型为 ICMP 时，不支持对目的端口进行访问控制。当协议类型为 TCP、UDP 或 ANY 时，并且目的端口类型（DestPortType）为 group 时，DestPort 取值为空。说明访问控制策略目的端口类型选择 group（目的端口地址簿）时，您无需设置具体的目的端口号。需要该访问控制策略管控的所有端口会包含在目的端口地址簿中。当协议类型为 TCP、UDP 或 ANY 时，并且目的端口类型（DestPortType）为 port 时，DestPort 取值为目的端口号。
DestPortType	String	否	是	安全访问控制策略中访问流量的目的端口类型。	取值： port：端口。 group：端口地址簿。
DomainResolveType	Integer	否	是	访问控制策略的域名解析方式。	取值： 0：基于 FQDN。 1：基于 DNS 动态解析。 2：基于 FQDN 与 DNS 动态解析。
DestPortGroup	String	否	是	访问控制策略中访问流量的目的端口地址簿名称。	说明 DestPortType 设置为 group 时，您需要设置目的端口地址簿名称。
EndTime	String	否	是	访问控制策略的策略有效期的结束时间。	使用秒级时间戳格式表示。必须为整点或半点时间，且大于开始时间至少半小时。说明当 RepeatType 为 Permanent 时，EndTime 为空。当 RepeatType 为 None、Daily、Weekly、Monthly 时，EndTime 必须有值，您需要设置结束时间。
IpVersion	Integer	否	是	支持的 IP 地址版本。	取值：4（默认）：代表 IPv4 地址。
RepeatEndTime	String	否	是	访问控制策略的策略有效期的重复结束时间。	例如：23:30，必须为整点或半点时间，且大于重复开始时间至少半小时。说明当 RepeatType 为 Permanent、None 时，RepeatEndTime 为空。当 RepeatType 为 Daily、Weekly、Monthly 时，RepeatEndTime 必须有值，您需要设置重复结束时间。
RepeatDays	List	否	是	访问控制策略的策略有效期的重复日期集合。	当 RepeatType 为`Permanent`、`None`、`Daily`时，RepeatDays 为空集合。例如：[]。当 RepeatType 为 Weekly 时，RepeatDays 不能为空。例如：[0, 6]。说明 RepeatType 设置为 Weekly 时，RepeatDays 不允许重复。当 RepeatType 为`Monthly`时，RepeatDays 不能为空。例如：[1, 31]。说明 RepeatType 设置为 Monthly 时，RepeatDays 不允许重复。
RepeatType	String	否	是	访问控制策略的策略有效期的重复类型。	取值： Permanent（默认）：总是。 None：指定单次时间。 Daily：每天。 Weekly：每周。 Monthly：每月。
RepeatStartTime	String	否	是	访问控制策略的策略有效期的重复开始时间。	例如：08:00，必须为整点或半点时间，且小于重复结束时间至少半小时。说明当 RepeatType 为 Permanent、None 时，RepeatStartTime 为空。当 RepeatType 为 Daily、Weekly、Monthly 时，RepeatStartTime 必须有值，您需要设置重复开始时间。
Release	Boolean	否	是	访问控制策略的启用状态。	策略创建后默认启用该策略。取值： true：启用访问控制策略。 false：不启用访问控制策略。
StartTime	String	否	是	访问控制策略的策略有效期的开始时间。	使用秒级时间戳格式表示。必须为整点或半点时间，且小于结束时间至少半小时。说明当 RepeatType 为 Permanent 时，StartTime 为空。当 RepeatType 为 None、Daily、Weekly、Monthly 时，StartTime 必须有值，您需要设置开始时间。

返回值

Fn::GetAtt

AclUuid：安全访问控制策略的唯一标识 ID。
Direction：访问控制策略的流量方向。
NatGatewayId：NAT 网关的实例 ID。

示例

YAML格式

ROSTemplateFormatVersion: '2015-09-01'
Parameters:
  NatGateway:
    Type: String
    AssociationProperty: ALIYUN::VPC::NatGateway::NatGatewayId
Resources:
  ExtensionResource:
    Type: ALIYUN::CLOUDFW::NatFirewallControlPolicy
    Properties:
      AclAction: log
      ApplicationNameList:
        - HTTP
        - HTTPS
      Description: test
      Destination: 200.1.2.0/24
      DestinationType: net
      NatGatewayId:
        Ref: NatGateway
      Proto: TCP
      Source: 10.0.0.0/8
      SourceType: net
      NewOrder: '-1'
      Direction: out
Outputs:
  AclUuid:
    Description: The unique ID of the access control policy.
    Value:
      Fn::GetAtt:
        - ExtensionResource
        - AclUuid
  Direction:
    Description: The direction of the traffic to which the access control policy applies.
    Value:
      Fn::GetAtt:
        - ExtensionResource
        - Direction
  NatGatewayId:
    Description: The ID of the NAT gateway.
    Value:
      Fn::GetAtt:
        - ExtensionResource
        - NatGatewayId

JSON格式

{
  "ROSTemplateFormatVersion": "2015-09-01",
  "Parameters": {
    "NatGateway": {
      "Type": "String",
      "AssociationProperty": "ALIYUN::VPC::NatGateway::NatGatewayId"
    }
  },
  "Resources": {
    "ExtensionResource": {
      "Type": "ALIYUN::CLOUDFW::NatFirewallControlPolicy",
      "Properties": {
        "AclAction": "log",
        "ApplicationNameList": [
          "HTTP",
          "HTTPS"
        ],
        "Description": "test",
        "Destination": "200.1.2.0/24",
        "DestinationType": "net",
        "NatGatewayId": {
          "Ref": "NatGateway"
        },
        "Proto": "TCP",
        "Source": "10.0.0.0/8",
        "SourceType": "net",
        "NewOrder": "-1",
        "Direction": "out"
      }
    }
  },
  "Outputs": {
    "AclUuid": {
      "Description": "The unique ID of the access control policy.",
      "Value": {
        "Fn::GetAtt": [
          "ExtensionResource",
          "AclUuid"
        ]
      }
    },
    "Direction": {
      "Description": "The direction of the traffic to which the access control policy applies.",
      "Value": {
        "Fn::GetAtt": [
          "ExtensionResource",
          "Direction"
        ]
      }
    },
    "NatGatewayId": {
      "Description": "The ID of the NAT gateway.",
      "Value": {
        "Fn::GetAtt": [
          "ExtensionResource",
          "NatGatewayId"
        ]
      }
    }
  }
}