如果您需要精細化管控私網主機資產到互聯網的流量訪問,您可以配置NAT邊界訪問控制策略,攔截私網資產到互聯網的未授權訪問,有效地降低核心業務數據泄露等風險。本文以配置僅允許私網主機訪問特定網站域名為例,介紹如何設置NAT邊界訪問控制策略。
場景示例
本文以下圖場景為例,您的業務中有一臺私網云服務器ECS(主機),通過公網NAT網關實現訪問互聯網,其中,主機的私網IP為10.10.XX.XX。出于資產安全考慮,您需要配置僅允許主機訪問www.aliyun.com網站。
配置步驟
登錄云防火墻控制臺。
在左側導航欄,選擇。
在NAT邊界頁面,選擇待配置的NAT網關,單擊創建策略。
云防火墻會自動同步您當前賬號下關聯的NAT網關,您可以單擊下拉框選擇待配置的NAT網關。
在創建策略-NAT邊界面板,然后配置一條允許主機訪問www.aliyun.com的高優先級策略和一條拒絕主機訪問所有公網的低優先級策略。
配置一條允許主機訪問www.aliyun.com的策略,關鍵配置項如下:
配置項
說明
示例值
源類型
網絡流量的發起方。您需要選擇訪問源類型,并根據訪問源類型輸入發送流量的訪問源地址。
IP
訪問源
輸入ECS的私網IP地址,本示例為10.10.XX.XX/32
目的類型
網絡流量的接收方。您需要選擇目的類型,并根據目的類型輸入接收流量的目的地址。
域名,并選擇域名識別類型為基于FQDN(報文提取Host/SNI)
目的
輸入允許主機訪問的網站域名:www.aliyun.com
說明您也可以對該域名進行DNS解析,獲取到解析后的IP地址。
協議類型
傳輸層協議類型,支持設置為:TCP、UDP、ICMP、ANY。不確定具體協議時可選擇ANY。
TCP
端口類型
設置目的端口類型和目的端口。
端口
端口
輸入0/0,表示所有端口
應用
設置該訪問流量的應用類型。
域名模式使用DNS動態解析時,您可以選擇所有應用。
域名模式使用基于FQDN(報文提取Host/SNI)時,您只能選擇HTTP、HTTPS、SMTP、SMTPS或SSL。
域名模式使用同時基于FQDN(報文提取Host/SNI)與DNS動態解析時,您只能選擇HTTP、HTTPS、SMTP、SMTPS、SSL或ANY。
HTTPS
動作
設置匹配成功的流量在該條策略的放行情況。
放行:放行該流量。
拒絕:攔截該流量,并且不會提供任何形式的通知信息。
觀察:該模式下,默認放行流量。觀察一段時間后,您可根據需要調整為放行或拒絕。
放行
優先級
選擇該策略的優先級,默認為最后,表示優先級最低。
最前:指訪問控制策略生效的優先級最高,最先生效。
最后:指訪問控制策略生效的優先級最低,最后生效。
最前
策略有效期
設置該策略的有效時間段。策略僅在有效時間段內才可用于匹配流量。
總是
啟用狀態
設置是否啟用策略。如果您創建策略時未啟用策略,可以在策略列表中開啟策略。
啟用
配置一條拒絕主機訪問所有公網IP的策略,關鍵配置項如下:
訪問源:10.10.X.X/32
目的:0.0.0.0/0,表示所有主機的IP地址。
協議類型:ANY
端口:0/0,表示主機的所有端口。
應用:ANY
動作:拒絕
優先級:最后
配置完成后,請確認允許主機訪問www.aliyun.com的策略優先級高于拒絕主機訪問所有公網的策略。
后續步驟
訪問控制策略配置完成后,默認情況下策略立即生效。您可以在訪問控制策略列表的命中次數/最近命中時間列,查看訪問控制策略的命中情況。
命中次數/最近命中時間列有顯示命中次數及時間,表示已有訪問流量命中該策略。您可以單擊命中次數,跳轉到流量日志頁面查看詳細數據。具體操作,請參見日志審計。
相關文檔
NAT邊界訪問控制策略的詳細配置指導,請參見NAT邊界。
更多訪問控制策略配置原則,請參見訪問控制策略配置示例。
更多關于訪問控制策略的配置和使用問題,請參見訪問控制策略常見問題。