拒絕海外區(qū)域訪問主機的策略配置教程
如果您需要管控資產(chǎn)與特定地理區(qū)域的流量訪問,例如僅允許您的資產(chǎn)訪問某個區(qū)域、拒絕某個區(qū)域訪問您的資產(chǎn)等,您可以配置互聯(lián)網(wǎng)邊界訪問控制策略,并指定訪問源或目的類型為區(qū)域。本文以僅面向非海外用戶的業(yè)務(wù)場景為例,介紹如何設(shè)置策略來攔截海外區(qū)域的流量訪問。
場景示例
本文以下圖場景為例,您的業(yè)務(wù)中有一臺云服務(wù)器ECS(主機),綁定的彈性公網(wǎng)IP為47.100.XX.XX。考慮到您的業(yè)務(wù)面向非海外用戶,即無需海外區(qū)域的流量訪問您的資產(chǎn),因此,您需要配置拒絕所有來自海外區(qū)域的流量。
前提條件
您已經(jīng)購買了云防火墻服務(wù),并且已開啟互聯(lián)網(wǎng)邊界防火墻保護(hù)。具體操作,請分別參見購買云防火墻服務(wù)、互聯(lián)網(wǎng)邊界防火墻。
配置步驟
登錄云防火墻控制臺。
在左側(cè)導(dǎo)航欄,選擇。
在入向頁簽,單擊創(chuàng)建策略。在創(chuàng)建入向策略面板,單擊自定義創(chuàng)建頁簽,然后配置策略。策略關(guān)鍵配置項如下:
配置項
說明
示例值
源類型
網(wǎng)絡(luò)流量的發(fā)起方。您需要選擇訪問源類型,并根據(jù)類型輸入地址。
區(qū)域
訪問源
全部國際區(qū)域
目的類型
網(wǎng)絡(luò)流量的接收方。您需要選擇目的類型,并根據(jù)類型輸入地址。
IP
目的
輸入ECS的公網(wǎng)IP地址47.100.XX.XX/32
協(xié)議類型
傳輸層協(xié)議類型,支持設(shè)置為:TCP、UDP、ICMP、ANY。不確定具體協(xié)議時可選擇ANY。
ANY
端口類型
設(shè)置目的端口類型和目的端口。
端口
端口
輸入0/0,表示所有端口
應(yīng)用
設(shè)置訪問流量的應(yīng)用類型。
ANY
動作
設(shè)置匹配成功的流量在該條策略的放行情況。
放行:放行該流量。
拒絕:攔截該流量,并且不會提供任何形式的通知信息。
觀察:該模式下,默認(rèn)放行流量。觀察一段時間后,您可根據(jù)需要調(diào)整為放行或拒絕。
拒絕
優(yōu)先級
選擇該策略的優(yōu)先級,默認(rèn)為最后,表示優(yōu)先級最低。
最前
策略有效期
設(shè)置該策略的有效時間段。策略僅在有效時間段內(nèi)才可用于匹配流量。
總是
啟用狀態(tài)
設(shè)置是否啟用策略。如果您創(chuàng)建策略時未啟用策略,可以在策略列表中開啟策略。
啟用
后續(xù)步驟
業(yè)務(wù)運行一段時間后,您可以在訪問控制策略列表的命中次數(shù)/最近命中時間列,查看訪問控制策略的命中情況。
單擊命中次數(shù)可跳轉(zhuǎn)到流量日志頁面,查看流量日志。關(guān)于如何查看流量日志,請參見日志審計。
相關(guān)文檔
互聯(lián)網(wǎng)邊界訪問控制策略的詳細(xì)配置指導(dǎo),請參見配置互聯(lián)網(wǎng)邊界訪問控制策略。
更多訪問控制策略配置原則,請參見訪問控制策略配置示例。
更多關(guān)于訪問控制策略的配置和使用問題,請參見訪問控制策略常見問題。