防護(hù)主機(jī)邊界原理圖

策略組類型

策略組分為普通策略組和企業(yè)策略組。

應(yīng)用場景

• 普通策略組對應(yīng)于ECS的普通安全組，是一種虛擬防火墻，具備狀態(tài)檢測和數(shù)據(jù)包過濾功能，用于在云端劃分安全域。您可以通過配置策略組，允許或拒絕策略組內(nèi)的ECS實(shí)例的入流量、出流量。該策略組適用于對網(wǎng)絡(luò)控制要求較高、網(wǎng)絡(luò)連接數(shù)適中的用戶場景。

• 企業(yè)策略組對應(yīng)于ECS的企業(yè)安全組，是一種全新的策略組類型，相比原有的普通策略組，大幅提升了組內(nèi)容納實(shí)例數(shù)量，不再限制組內(nèi)私網(wǎng)IP數(shù)量，規(guī)則配置方式更加簡潔便于維護(hù)，適用于對整體規(guī)模和運(yùn)維效率有較高需求的企業(yè)級用戶。

對比差異

普通安全組和企業(yè)安全組的差異，請參見普通安全組與企業(yè)級安全組。

前提條件

已開通企業(yè)版、旗艦版云防火墻。具體操作，請參見購買云防火墻服務(wù)。

配置主機(jī)邊界訪問控制策略

配置主機(jī)邊界防火墻訪問控制策略時(shí)，您需要先創(chuàng)建策略組（策略組中包含默認(rèn)策略），然后在該策略組中配置入方向或出方向訪問控制策略。完成策略組和策略配置后，必須發(fā)布策略組，才能將策略組策略同步到ECS安全組并生效。

步驟一：創(chuàng)建策略組

1. 登錄云防火墻控制臺。

2. 在左側(cè)導(dǎo)航欄，選擇防護(hù)配置 > 主機(jī)邊界 > 安全組檢查。

3. 在主機(jī)邊界頁面，單擊新增策略組。

4. 在新增策略組對話框，配置策略組，然后單擊確認(rèn)。

   配置項(xiàng)	說明
   策略組類型	選擇策略組的類型： 普通策略組 企業(yè)策略組
   策略組名稱	按頁面提示要求設(shè)置策略組的名稱。 建議使用方便識別的名稱，便于識別和管理。
   所屬VPC	選擇應(yīng)用該策略組的專有網(wǎng)絡(luò)VPC。 每個(gè)策略組只能配置一個(gè)VPC。
   實(shí)例ID	從實(shí)例ID下拉列表中，選擇應(yīng)用該策略組的一個(gè)或多個(gè)ECS實(shí)例。 說明 實(shí)例ID列表只包含所屬VPC下的ECS實(shí)例。
   描述	簡短地描述策略組，方便后續(xù)對安全組進(jìn)行管理。
   模板	從模板下拉列表中，選擇要應(yīng)用的模板類型： default-accept-login：默認(rèn)放行TCP 22、TCP 3389協(xié)議入方向訪問和所有出方向訪問。 default-accept-all：默認(rèn)放行所有入方向和出方向訪問。 default-drop-all：默認(rèn)拒絕所有入方向和出方向訪問。 說明 企業(yè)策略組不支持default-drop-all選項(xiàng)。

步驟二：配置策略

1. 在主機(jī)邊界頁面，定位到待設(shè)置的策略組，單擊操作列的配置策略。

2. 在入方向或者出方向頁簽，單擊創(chuàng)建策略。

3. 在創(chuàng)建策略對話框，配置策略參數(shù)，然后單擊提交。

   配置項(xiàng)	說明
   網(wǎng)卡類型	默認(rèn)為內(nèi)網(wǎng)，表示ECS的出方向和入方向的流量。
   策略方向	選擇策略生效方向。 入方向：指其他ECS實(shí)例訪問策略組關(guān)聯(lián)的ECS實(shí)例。 出方向：指策略組內(nèi)的ECS實(shí)例訪問其他ECS實(shí)例。
   策略類型	選擇策略類型。 允許：放行相應(yīng)的訪問流量。 拒絕：直接丟棄數(shù)據(jù)包，不會(huì)返回任何回應(yīng)信息。如果兩條策略其他配置都相同，只有策略類型不同，則拒絕策略生效，允許策略不生效。 說明 企業(yè)策略組不支持拒絕選項(xiàng)。
   協(xié)議類型	選擇訪問流量的協(xié)議類型。 選擇ANY時(shí)，表示任何協(xié)議類型。不確定訪問流量的類型時(shí)可選擇ANY。
   端口范圍	輸入訪問流量使用的端口地址范圍。 如果填寫端口段，例如1~200的所有端口，則填寫1/200；如果填寫指定端口，例如80端口，則填寫80/80。
   優(yōu)先級	策略生效的優(yōu)先級。使用整數(shù)表示，取值范圍：1~100。優(yōu)先級數(shù)值越小，優(yōu)先級越高。 優(yōu)先級數(shù)值可重復(fù)。策略優(yōu)先級相同時(shí)，拒絕類型的策略優(yōu)先生效。
   源類型、源對象	選擇訪問流量的來源，策略方向選擇入方向時(shí)需要設(shè)置。您可以選擇訪問源地址的類型，并根據(jù)源類型設(shè)置源對象。 地址段訪問 選擇該類型后，需要在源對象中手動(dòng)輸入訪問源地址段。僅支持設(shè)置單個(gè)地址段。 策略組 選擇該類型后，需要從源對象的策略組列表，選擇一個(gè)策略組作為源對象，表示對來自該策略組中所有ECS實(shí)例的流量進(jìn)行管控。 說明 企業(yè)策略組不支持策略組選項(xiàng)。 前綴列表 選擇該類型后，需要從源對象的前綴列表，選擇一個(gè)前綴列表作為源對象，云防火墻能夠?qū)εc指定前綴列表的IP地址訪問ECS實(shí)例的流量進(jìn)行管控。關(guān)于前綴列表的介紹，請參見使用前綴列表提高安全組規(guī)則管理的效率。
   目的選擇	選擇訪問流量的目的地址。策略方向選擇入方向時(shí)需要設(shè)置。可選擇的目的地址類型： 全部ECS：表示關(guān)聯(lián)當(dāng)前策略組的所有ECS實(shí)例。 地址段訪問：輸入關(guān)聯(lián)到當(dāng)前策略組的ECS實(shí)例的IP地址，采用CIDR地址段格式。表示僅管控指定地址的ECS實(shí)例的入方向流量。
   源選擇	選擇訪問源的類型。策略方向選擇出方向時(shí)需要設(shè)置。訪問源包含以下類型： 全部ECS：表示關(guān)聯(lián)當(dāng)前策略組的所有ECS實(shí)例。 地址段訪問：選擇該類型后，需要輸入源IP或CIDR地址段，表示當(dāng)前策略組中該地址段對應(yīng)的ECS實(shí)例。
   目的類型、目的對象	選擇目的地址的類型并根據(jù)選擇的目的類型設(shè)置目的對象。策略方向選擇出方向時(shí)需要設(shè)置。 可選的目的類型如下： 地址段訪問 選擇該類型后，需要手動(dòng)輸入訪問目的地址段。僅支持設(shè)置單個(gè)地址段。 策略組 選擇該類型后，從策略組列表中選擇一個(gè)策略組，表示對本機(jī)訪問該策略組中所有ECS實(shí)例的流量進(jìn)行管控。 說明 企業(yè)策略組不支持策略組選項(xiàng)。 前綴列表 選擇該類型后，需要從前綴列表中一個(gè)前綴列表，表示對該前綴列表關(guān)聯(lián)的安全組的所有ECS實(shí)例的流量進(jìn)行管控。關(guān)于前綴列表的介紹，請參見使用前綴列表提高安全組規(guī)則管理的效率。
   描述	策略的描述信息。

4. 策略組創(chuàng)建完成后，您可以在主機(jī)邊界防火墻的策略組列表中查看新建的策略組。

步驟三：發(fā)布策略

1. 登錄云防火墻控制臺。

2. 在左側(cè)導(dǎo)航欄，選擇防護(hù)配置 > 主機(jī)邊界 > 安全組檢查。

3. 在主機(jī)邊界頁面，定位到需要發(fā)布的策略組，單擊操作列下的發(fā)布。

4. 在策略發(fā)布對話框，設(shè)置變更備注，確認(rèn)變更策略（即策略的變更內(nèi)容），并單擊確定。

   策略發(fā)布后才會(huì)同步到ECS安全組并生效。您可以在ECS控制臺的安全組 > 安全組列表頁面，查看云防火墻同步到安全組中的訪問控制策略。云防火墻創(chuàng)建的策略組策略名稱默認(rèn)為Cloud_Firewall_Security_Group。

同步ECS安全組策略

• 手動(dòng)同步：在主機(jī)邊界頁面，單擊同步安全組，將ECS安全組的策略同步到云防火墻。同步時(shí)間需要2~3分鐘。

• 自動(dòng)同步：云防火墻每2小時(shí)為您自動(dòng)同步ECS安全組的策略信息。

相關(guān)操作

您可以在主機(jī)邊界防火墻的策略組列表執(zhí)行如下操作：

• 編輯：修改當(dāng)前策略組包含的ECS實(shí)例和策略組的描述。

• 刪除：刪除策略組。

  警告

  刪除策略組后，策略組中的主機(jī)訪問控制策略會(huì)失效，請謹(jǐn)慎操作。刪除策略組后，策略記錄仍會(huì)保留在策略組列表中，但您無法再對其執(zhí)行任何操作。

  如果您希望清理不再需要的策略組，則可以將策略組來源設(shè)置為自定義，篩選出所有在云防火墻控制臺手動(dòng)創(chuàng)建的策略組，再去判斷策略組是否需要保留。