公網資產直接訪問互聯網,可能會導致核心業務數據泄露、業務系統遭受網絡攻擊等風險,為此,您可以配置互聯網邊界訪問控制策略,管控公網資產和互聯網之間的未授權訪問,降低數據泄露風險和資產在互聯網的暴露面。本文以配置僅允許主機訪問特定網站域名為例,介紹如何設置互聯網邊界訪問控制策略。
場景示例
本文以下圖場景為例,您的業務中有一臺云服務器ECS(主機),綁定的彈性公網IP為47.100.XX.XX,出于資產安全考慮,您需要配置僅允許主機訪問www.aliyun.com網站。
前提條件
配置步驟
登錄云防火墻控制臺。
在左側導航欄,選擇。
在出向頁簽,單擊創建策略。在創建出向策略面板,單擊自定義創建頁簽。
配置一條允許主機訪問www.aliyun.com的高優先級策略和一條拒絕主機訪問所有公網的低優先級策略。
配置一條允許主機訪問www.aliyun.com的策略,關鍵配置項如下:
配置項
說明
示例值
源類型
網絡流量的發起方。您需要選擇訪問源類型,并根據訪問源類型輸入發送流量的訪問源地址。
IP
訪問源
輸入ECS的公網IP地址,本示例為47.100.XX.XX/32
目的類型
網絡流量的接收方。您需要選擇目的類型,并根據目的類型輸入接收流量的目的地址。
域名
目的
輸入允許主機訪問的網站域名:www.aliyun.com
說明您也可以對該域名進行DNS解析,獲取到解析后的IP地址。
協議類型
傳輸層協議類型,支持設置為:TCP、UDP、ICMP、ANY。不確定具體協議時可選擇ANY。
TCP
端口類型
設置目的端口類型和目的端口。
端口
端口
輸入0/0,表示所有端口。
應用
設置訪問流量的應用類型。
ANY
動作
設置匹配成功的流量在該條策略的放行情況。
放行:放行該流量。
拒絕:攔截該流量,并且不會提供任何形式的通知信息。
觀察:該模式下,默認放行流量。觀察一段時間后,您可根據需要調整為放行或拒絕。
放行
描述
輸入該策略的備注內容,便于您后續查看時能快速區分每個策略的目的。
到www.aliyun.com的放行策略
優先級
選擇該策略的優先級,默認為最后,表示優先級最低。
最前
策略有效期
設置該策略的有效時間段。策略僅在有效時間段內才可用于匹配流量。
總是
啟用狀態
設置是否啟用策略。如果您創建策略時未啟用策略,可以在策略列表中開啟策略。
啟用
配置一條拒絕主機訪問所有公網IP的策略,關鍵配置項如下:
訪問源:47.100.X.X/32
目的:0.0.0.0/0,表示所有主機的IP地址。
協議類型:ANY
端口:0/0,表示主機的所有端口。
應用:ANY
動作:拒絕
優先級:最后
配置完成后,請確認允許主機訪問www.aliyun.com的策略優先級高于拒絕主機訪問所有公網的策略。
查看策略的命中情況
訪問控制策略配置完成后,默認情況下策略立即生效。您可以在訪問控制策略列表的命中次數/最近命中時間列,查看訪問控制策略的命中情況。
命中次數/最近命中時間列有顯示命中次數及時間,表示已有訪問流量命中該策略。您可以單擊命中次數,跳轉到流量日志頁面查看詳細數據。具體操作,請參見日志審計。
相關文檔
互聯網邊界訪問控制策略的詳細配置指導,請參見互聯網邊界(出入雙向流量)。
更多訪問控制策略配置原則,請參見訪問控制策略配置示例。
更多關于訪問控制策略的配置和使用問題,請參見訪問控制策略常見問題。