配置訪問控制策略配置不當,可能導致流量被誤放行或誤攔截,從而引發數據泄露、公網暴露、業務訪問中斷等一系列風險。為此,在制定訪問控制策略時,您需要仔細評估具體業務需求,精心設計策略以確保流量管理的準確性。深入理解訪問控制策略的工作原理能夠為您搭建健壯的安全防護網絡提供有效指導。
背景信息
如果您未配置任何訪問控制策略,云防火墻在訪問控制策略匹配環節,默認放行所有流量。配置訪問控制策略后,云防火墻可以對流量進行篩查,僅當符合要求的流量才可被放行。
術語解釋
為了幫助您更好地理解訪問控制策略的工作原理,本文定義了一些關鍵術語。下表提供了本文涉及的關鍵術語的解釋,以便您在閱讀時能夠快速查找和理解相關概念。
名稱 | 解釋 |
匹配項 | 云防火墻訪問控制策略包含多個元素,包括訪問類型、訪問源、目的類型等。其中,云防火墻僅將流量的源地址、目的地址、目的端口、傳輸協議、應用層協議和域名作為匹配項,與經過云防火墻的流量報文進行一一匹配。 |
目的類型 | 云防火墻訪問控制策略的目的地址的類型,支持IP、地址簿、域名等不同類型。 說明 不同防火墻支持配置的目的類型不同,請以控制臺頁面顯示為準。 |
四元組 | 本文中,四元組指源IP地址、目的IP地址、目的端口和傳輸協議。 |
應用 | 應用層協議,云防火墻支持識別HTTP、HTTPS、SMTP、SMTPS、SSL、FTP等多種類型。配置策略時最多支持同時選擇5種類型。 應用類型設置為ANY時,表示任意協議。 說明 云防火墻將SSL和TLS應用的443端口流量識別為HTTPS類型,將SSL和TLS應用的其他端口流量識別為SSL類型。 |
展開邏輯 | 配置訪問控制策略時,您可以對不同的匹配項設置多個管控對象。每個匹配項的具體值都可以成為一個獨立的管控對象,例如,您可以將IP地址段192.0.2.0/24、端口號段80/88、端口號22/22等作為管控對象。 策略配置完成后,云防火墻將基于一定的邏輯將策略細化為一條或多條匹配規則,并將匹配規則下發到云防火墻處理引擎。匹配規則的每個匹配項僅包含一個管控對象。 |
匹配邏輯 | 指云防火墻根據展開后的匹配規則來判斷網絡流量是否滿足放行條件,并根據匹配結果執行相應的策略動作的過程。 |
如果訪問控制策略的目的配置的是域名或者域名地址簿,您還需要了解如下兩種域名識別模式:
基于FQDN(報文提取Host/SNI):應用類型為HTTP、HTTPS、SMTP、SMTPS、SSL時,云防火墻優先通過Host或SNI字段來實現域名的訪問控制。
基于DNS動態解析:應用類型為HTTP、HTTPS、SSL、SMTP、SMTPS以外的其他類型時,云防火墻對域名進行DNS動態解析,云防火墻支持對解析出的IP地址進行訪問控制。一個域名最多解析500個IP。
工作流程
訪問控制策略工作流程如下:
創建訪問控制策略后,云防火墻會按照特定的邏輯將訪問控制策略展開為一條或多條匹配規則,并下發到引擎。詳細介紹,請參見一、訪問控制策略展開邏輯。
當流量經過云防火墻時,云防火墻按照策略的優先級,依次匹配流量報文,根據匹配結果放行或攔截流量包。詳細介紹,請參見二、訪問控制策略匹配邏輯。
如果流量報文命中某一條策略,云防火墻將執行該策略動作,并結束策略匹配;否則將繼續匹配下一優先級策略,直至命中策略或匹配完所有配置的策略。如果流量匹配完所有訪問控制策略后還是沒有命中,默認放行該流量。
一、訪問控制策略展開邏輯
創建訪問控制策略后,云防火墻會按照特定的邏輯將訪問控制策略展開為一條或多條匹配規則,并下發到引擎。互聯網邊界防火墻、NAT邊界防火墻和VPC邊界防火墻支持根據流量中攜帶的域名信息進行域名管控。根據云防火墻是否會對域名進行DNS解析,不同防火墻的展開邏輯不同。
創建、修改和刪除訪問控制策略后,云防火墻約需要3分鐘將匹配規則下發到引擎。
訪問控制策略拆分為多條匹配規則后,當流量匹配到該條訪問控制策略時,會依次匹配對應的匹配規則。流量命中訪問控制策略的任意一條匹配規則時,即命中該訪問控制策略。
關于域名解析的更多內容,請參見域名解析介紹。
互聯網邊界
配置互聯網邊界訪問控制策略后,云防火墻會判斷訪問控制策略的目的類型和應用,按照不同的目的類型和應用展開策略。互聯網邊界訪問控制策略的展開和匹配邏輯如下圖所示。
策略目的類型為IP或IP地址簿
當策略的目的類型配置為IP或IP地址簿時,云防火墻將根據配置的對象個數展開訪問源、目的地址、協議類型、端口和應用。
當流量匹配到該條策略時,云防火墻按照四元組和應用順序進行匹配。詳細介紹,請參見按四元組和應用順序匹配。
訪問控制策略 | 展開后的匹配規則 | |
| 匹配規則一:
| 匹配規則三:
|
匹配規則二:
| 匹配規則四:
| |
策略目的類型為域名
當策略的目的類型配置為域名時,云防火墻會判斷策略的應用類型,根據不同的應用類型展開策略并下發到引擎。
應用為HTTP、HTTPS、SMTP、SMTPS、SSL中的一種或多種類型時,域名識別基于FQDN(報文提取Host/SNI)模式。云防火墻不解析域名IP,將匹配規則的目的地址置為0.0.0.0/0,同時將域名、訪問源、協議類型、端口和應用按照配置的對象個數進行展開。
當流量匹配到該條策略時,云防火墻按照四元組、應用和域名順序進行匹配。詳細介紹,請參見按四元組、應用和域名順序匹配。
訪問控制策略
展開后的匹配規則
訪問源:192.0.2.0/24
目的:www.aliyun.com
協議類型:TCP
端口:0/0
應用:HTTP、HTTPS
匹配規則一
訪問源:192.0.2.0/24
目的:0.0.0.0/0
協議類型:TCP
端口:0/0
應用:HTTP
域名:www.aliyun.com
匹配規則二
訪問源:192.0.2.0/24
目的:0.0.0.0/0
協議類型:TCP
端口:0/0
應用:HTTPS
域名:www.aliyun.com
應用為除HTTP、HTTPS、SMTP、SMTPS、SSL、ANY外的其他類型時,域名識別基于DNS動態解析模式。云防火墻解析域名IP,將匹配規則的目的地址匹配項置為解析后的IP地址,同時將訪問源、目的地址、協議類型、端口和應用按照配置的對象個數進行展開。
當流量匹配到該條策略時,云防火墻按照四元組、應用順序進行匹配。詳細介紹,請參見按四元組和應用順序匹配。
訪問控制策略
展開后的匹配規則
訪問源:203.0.113.0/24
目的:www.aliyun.com
協議類型:TCP
端口:0/0
應用:MySQL
說明假設www.aliyun.com解析后的IP為106.XX.XX.5和106.XX.XX.6。
訪問源:203.0.113.0/24
目的:106.XX.XX.5
協議類型:TCP
端口:0/0
應用:MySQL
訪問源:203.0.113.0/24
目的:106.XX.XX.6
協議類型:TCP
端口:0/0
應用:MySQL
應用為ANY,或者同時包含HTTP、HTTPS、SMTP、SMTPS、SSL中的任意類型以及其他類型(例如應用設置為HTTP、MySQL)時,云防火墻將該策略按照如下匹配順序進行匹配:
當策略的應用為HTTP、HTTPS、SMTP、SMTPS、SSL,域名識別基于FQDN(報文提取Host/SNI)模式。云防火墻不解析域名IP,將匹配規則的目的地址置為0.0.0.0/0,同時將域名、訪問源、協議類型、端口和應用按照配置的對象個數進行展開。
當流量匹配到該條策略時,云防火墻按照四元組、應用和域名順序進行匹配。詳細介紹,請參見按四元組、應用和域名順序匹配。
當策略的應用為ANY,域名識別基于DNS動態解析模式。云防火墻解析域名IP,將匹配規則的目的地址置為解析后的IP地址,同時將訪問源、目的地址、協議類型、端口和應用按照配置的對象個數進行展開。
當流量匹配到該條策略時,云防火墻按照四元組、應用順序進行匹配。詳細介紹,請參見按四元組和應用順序匹配。
訪問控制策略
展開后的匹配規則
訪問源:192.0.2.0/24
目的:www.aliyun.com
協議類型:TCP
端口:0/0
應用:ANY
說明假設www.aliyun.com解析后的IP為106.XX.XX.5和106.XX.XX.6。
匹配規則一:
訪問源:192.0.2.0/24
目的:0.0.0.0/0
協議類型:TCP
端口:0/0
應用:HTTP
域名:www.aliyun.com
匹配規則二:
訪問源:192.0.2.0/24
目的:0.0.0.0/0
協議類型:TCP
端口:0/0
應用:HTTPS
域名:www.aliyun.com
匹配規則三:
訪問源:192.0.2.0/24
目的:0.0.0.0/0
協議類型:TCP
端口:0/0
應用:SMTP
域名:www.aliyun.com
匹配規則四:
訪問源:192.0.2.0/24
目的:0.0.0.0/0
協議類型:TCP
端口:0/0
應用:SMTPS
域名:www.aliyun.com
匹配規則五:
訪問源:192.0.2.0/24
目的:0.0.0.0/0
協議類型:TCP
端口:0/0
應用:SSL
域名:www.aliyun.com
匹配規則六:
訪問源:192.0.2.0/24
目的:106.XX.XX.5
協議類型:TCP
端口:0/0
應用:ANY
匹配規則七:
訪問源:192.0.2.0/24
目的:106.XX.XX.6
協議類型:TCP
端口:0/0
應用:ANY
訪問源:198.51.100.0/24
目的:www.aliyun.com
協議類型:TCP
端口:0/0
應用:HTTP、MySQL
說明假設www.aliyun.com解析后的IP為106.XX.XX.5和106.XX.XX.6。
匹配規則一:
訪問源:198.51.100.0/24
目的:0.0.0.0/0
協議類型:TCP
端口:0/0
應用:HTTP
域名:www.aliyun.com
匹配規則二:
訪問源:198.51.100.0/24
目的:106.XX.XX.6
協議類型:TCP
端口:0/0
應用:MySQL
匹配規則三:
訪問源:198.51.100.0/24
目的:106.XX.XX.5
協議類型:TCP
端口:0/0
應用:MySQL
策略目的類型為域名地址簿
當策略的目的類型配置為域名地址簿(即目的地址為多個域名)時,域名識別僅基于FQDN(報文提取Host/SNI)模式。應用僅支持配置為HTTP、HTTPS、SMTP、SMTPS、SSL。此時,云防火墻不解析域名IP,將匹配規則的目的地址置為0.0.0.0/0,同時將域名、訪問源、協議類型、端口和應用按照配置的對象個數進行展開。
當流量匹配到該條策略時,云防火墻按照四元組、應用和域名順序進行匹配。詳細介紹,請參見按四元組、應用和域名順序匹配。
訪問控制策略 | 展開后的匹配規則 | |
| 匹配規則一:
| 匹配規則二:
|
匹配規則三:
| 匹配規則四:
| |
NAT邊界
配置NAT邊界訪問控制策略時,如果配置了域名訪問控制策略,您可以手動設置域名識別模式,云防火墻會根據您設置的域名識別模式,判斷是否對域名進行DNS解析。NAT邊界訪問控制策略的展開和匹配邏輯如下圖所示。
策略目的類型為IP或IP地址簿
策略的目的類型配置為IP或IP地址簿時,云防火墻將根據配置的對象個數展開訪問源、目的地址、協議類型、端口和應用。
當流量匹配到該條策略時,云防火墻按照四元組和應用順序進行匹配。詳細介紹,請參見按四元組和應用順序匹配。
訪問控制策略 | 展開后的匹配規則 | |
| 匹配規則一:
| 匹配規則三:
|
匹配規則二:
| 匹配規則四:
| |
策略目的類型為域名
策略的目的類型配置為域名時,云防火墻根據不同的域名識別模式展開策略。
域名識別模式為基于FQDN(報文提取Host/SNI),此時應用僅支持設置為HTTP、HTTPS、SMTP、SMTPS、SSL中的一種或多種類型。該模式下,云防火墻不解析域名IP,將匹配規則的目的地址置為0.0.0.0/0,同時將域名、訪問源、協議類型、端口和應用按照配置項對象個數進行展開。
當流量匹配到該條策略時,云防火墻按照四元組、應用和域名順序進行匹配。詳細介紹,請參見按四元組、應用和域名順序匹配。
訪問控制策略
展開后的匹配規則
訪問源:192.168.7.10/32
目的:www.aliyun.com
域名識別模式:基于FQDN(報文提取Host/SNI)
協議類型:TCP
端口:0/0
應用:HTTP、HTTPS
匹配規則一
訪問源:192.168.7.10/32
目的:0.0.0.0/0
協議類型:TCP
端口:0/0
應用:HTTP
域名:www.aliyun.com
匹配規則二
訪問源:192.168.7.10/32
目的:0.0.0.0/0
協議類型:TCP
端口:0/0
應用:HTTPS
域名:www.aliyun.com
域名識別模式為基于DNS動態解析,云防火墻根據不同的應用類型展開策略:
應用設置為HTTP、HTTPS、SMTP、SMTPS、SSL中的一種或多種類型時,云防火墻不解析域名IP,將匹配規則的目的地址置為0.0.0.0/0,同時將域名、訪問源、協議類型、端口和應用按照配置的對象個數進行展開。
當流量匹配到該條匹配規則時,云防火墻按四元組、應用和域名順序進行匹配。詳細介紹,請參見按四元組、應用和域名順序匹配。
應用設置為HTTP、HTTPS、SMTP、SMTPS、SSL外的其他特定類型時,云防火墻解析域名IP,將匹配規則的目的地址置為解析后的IP地址,同時將訪問源、目的地址、協議類型、端口和應用按照配置的對象個數進行展開。
當流量匹配到該條匹配規則時,云防火墻按四元組和應用順序進行匹配。詳細介紹,請參見按四元組和應用順序匹配。
應用設置為ANY,或者同時包含HTTP、HTTPS、SMTP、SMTPS、SSL中的任意類型以及其他類型(例如應用設置為HTTP、MySQL)時,云防火墻按照上述兩種情況,展開為兩類匹配規則。
當流量匹配到該條策略時,云防火墻根據匹配規則分類,分別按四元組、應用和域名以及四元組和應用的順序進行匹配。詳細介紹,請分別參見按四元組和應用順序匹配、按四元組、應用和域名順序匹配。
訪問控制策略
展開后的匹配規則
訪問源:192.168.7.10/32
目的:www.aliyun.com
域名識別模式:基于DNS動態解析
協議類型:TCP
端口:0/0
應用:ANY
說明假設www.aliyun.com解析后的IP為106.XX.XX.5和106.XX.XX.6。
匹配規則一:
訪問源:192.168.7.10/32
目的:0.0.0.0/0
協議類型:TCP
端口:0/0
應用:HTTP
域名:www.aliyun.com
匹配規則二:
訪問源:192.168.7.10/32
目的:0.0.0.0/0
協議類型:TCP
端口:0/0
應用:HTTPS
域名:www.aliyun.com
匹配規則三:
訪問源:192.168.7.10/32
目的:0.0.0.0/0
協議類型:TCP
端口:0/0
應用:SMTP
域名:www.aliyun.com
匹配規則四:
訪問源:192.168.7.10/32
目的:0.0.0.0/0
協議類型:TCP
端口:0/0
應用:SMTPS
域名:www.aliyun.com
匹配規則五:
訪問源:192.168.7.10/32
目的:0.0.0.0/0
協議類型:TCP
端口:0/0
應用:SSL
域名:www.aliyun.com
匹配規則六:
訪問源:192.168.7.10/32
目的:106.XX.XX.5
協議類型:TCP
端口:0/0
應用:ANY
匹配規則七:
訪問源:192.168.7.10/32
目的:106.XX.XX.6
協議類型:TCP
端口:0/0
應用:ANY
訪問源:172.16.10.10/32
目的:www.aliyun.com
域名識別模式:基于DNS動態解析
協議類型:TCP
端口:0/0
應用:HTTP、MySQL
說明假設www.aliyun.com解析后的IP為106.XX.XX.5和106.XX.XX.6。
匹配規則一:
訪問源:172.16.10.10/32
目的:106.XX.XX.5
協議類型:TCP
端口:0/0
應用:MySQL
匹配規則二:
訪問源:172.16.10.10/32
目的:106.XX.XX.6
協議類型:TCP
端口:0/0
應用:MySQL
匹配規則三:
訪問源:172.16.10.10/32
目的:0.0.0.0/0
協議類型:TCP
端口:0/0
應用:HTTP
域名:www.aliyun.com
域名識別模式為同時基于FQDN和DNS動態解析,此時應用僅支持設置為HTTP、HTTPS、SMTP、SMTPS、SSL和ANY。該模式下,云防火墻根據不同的應用類型展開策略:
應用設置為HTTP、HTTPS、SMTP、SMTPS、SSL中的一種或多種類型時,云防火墻不解析域名IP,將匹配規則的目的地址置為0.0.0.0/0,同時將域名、訪問源、協議類型、端口和應用按照配置的對象個數進行展開。
應用設置為ANY時,云防火墻將該策略展開為兩類匹配規則:
匹配規則的應用為HTTP、HTTPS、SMTP、SMTPS、SSL,云防火墻不解析域名IP,將匹配規則的目的地址置為0.0.0.0/0,同時將域名、訪問源、協議類型、端口和應用按照配置的對象個數進行展開。
當流量匹配到該條匹配規則時,云防火墻按四元組、應用和域名順序進行匹配。詳細介紹,請參見按四元組、應用和域名順序匹配。
匹配規則的應用為ANY,云防火墻解析域名IP,將匹配規則的目的地址置為解析后的IP地址,同時將訪問源、目的地址、協議類型、端口和應用按照配置的對象個數進行展開。
當流量匹配到該條匹配規則時,云防火墻按四元組和應用順序進行匹配。詳細介紹,請參見按四元組和應用順序匹配。
策略目的類型為域名地址簿
策略的目的類型配置為域名地址簿(即目的地址為多個域名)時,域名識別模式僅支持配置為基于FQDN(報文提取Host/SNI),并且應用僅支持HTTP、HTTPS、SMTP、SMTPS、SSL。此時,云防火墻不解析域名IP,將匹配規則的目的地址置為0.0.0.0/0,同時將域名、訪問源、協議類型、端口和應用按照配置的對象個數進行展開。
當流量匹配到該條策略時,云防火墻按照四元組、應用和域名順序進行匹配。詳細介紹,請參見按四元組、應用和域名順序匹配。
訪問控制策略 | 展開后的匹配規則 | |
| 匹配規則一:
| 匹配規則二:
|
匹配規則三:
| 匹配規則四:
| |
VPC邊界
云防火墻的VPC邊界訪問控制策略不支持對域名進行DNS解析。配置VPC邊界訪問控制策略后,云防火墻主要判斷策略的目的類型,然后根據不同的目的類型展開策略。VPC邊界訪問控制策略的展開和匹配邏輯如下圖所示。
策略目的類型為IP或IP地址簿
策略的目的類型配置為IP或IP地址簿時,云防火墻將根據配置的對象個數展開訪問源、目的地址、協議類型、端口和應用。
當流量匹配到該條策略時,云防火墻按照四元組和應用順序進行匹配。詳細介紹,請參見按四元組和應用順序匹配。
訪問控制策略 | 展開后的匹配規則 | |
| 匹配規則一:
| 匹配規則三:
|
匹配規則二:
| 匹配規則四:
| |
策略目的類型為域名或域名地址簿
策略的目的類型配置為域名或域名地址簿時,應用僅支持設置為HTTP、HTTPS、SMTP、SMTPS、SSL中的一種或多種類型。該模式下,云防火墻不解析域名IP,將匹配規則的目的地址置為0.0.0.0/0,同時將域名、訪問源、協議類型、端口和應用按照配置項對象個數進行展開。
當流量匹配到該條策略時,云防火墻按照四元組、應用和域名順序進行匹配。詳細介紹,請參見按四元組、應用和域名順序匹配。
訪問控制策略 | 展開后的匹配規則 | |
| 匹配規則一
| 匹配規則二
|
二、訪問控制策略匹配邏輯
當流量經過云防火墻時,云防火墻會根據訪問控制策略、威脅情報規則、基礎防御規則、智能防御規則、虛擬補丁規則對流量報文進行匹配,然后根據匹配結果執行相應的規則動作。以下為您介紹云防火墻在訪問控制策略匹配階段的邏輯。如果需要了解不同階段的匹配順序,請參見流量分析常見問題。
在訪問控制策略匹配階段,云防火墻的流量匹配分為兩類:按四元組和應用順序匹配、按四元組、應用和域名順序匹配。
按四元組和應用順序匹配
該模式下,當流量經過云防火墻時,云防火墻會依次匹配訪問控制策略和流量報文的四元組(源IP地址、目的IP地址、目的端口、傳輸層協議)和應用。只有當流量同時命中訪問控制策略的四元組和應用,才算命中該訪問控制策略。
以下情況下,云防火墻會按四元組和應用順序匹配流量:
訪問控制策略的目的類型為IP或IP地址簿。
訪問控制策略的目的類型為域名,并且應用為ANY和5種協議(HTTP、HTTPS、SMTP、SMTPS、SSL)之外的其他類型。
訪問控制策略的目的類型為域名,應用為ANY,并且展開后的匹配規則的應用為非5種協議。
按四元組和應用順序匹配的流程如下:
當流量經過云防火墻時,云防火墻匹配訪問控制策略和流量的四元組。
云防火墻匹配訪問控制策略和流量的應用。
云防火墻識別出流量應用,并且流量應用命中訪問控制策略的應用,云防火墻執行該條訪問控制策略動作(放行或拒絕)。
云防火墻識別出流量應用,但流量應用未命中訪問控制策略的應用,云防火墻判斷是否存在下一條訪問控制策略。
如果存在,則繼續匹配下一優先級訪問控制策略和流量的四元組,直到命中某一條訪問控制策略的四元組和應用。
如果匹配完所有訪問控制策略后仍沒有命中,則結束訪問控制策略匹配階段。
如果不存在,則結束訪問控制策略匹配階段。
云防火墻無法識別流量應用,此時云防火墻會判斷當前的識別模式是嚴格模式或寬松模式。
寬松模式下,為了不影響業務,云防火墻默認放行該流量。
嚴格模式下,云防火墻不會直接放行該流量包,而是繼續匹配下一優先級訪問控制策略,直到命中某一條訪問控制策略,然后執行命中策略的動作(放行或拒絕)。
如果匹配完所有訪問控制策略后仍沒有命中,則云防火墻默認放行該流量。
按四元組、應用和域名順序匹配
該模式下,當流量經過云防火墻時,云防火墻會依次匹配訪問控制策略和流量報文的四元組(源IP地址、目的IP地址、目的端口、傳輸層協議)和應用。只有當流量同時命中訪問控制策略的四元組和應用,才算命中該訪問控制策略。
以下情況下,云防火墻會按四元組、應用和域名的順序匹配流量:
訪問控制策略的目的類型為域名,并且應用為5種協議(HTTP、HTTPS、SMTP、SMTPS、SSL)。
訪問控制策略的目的類型為域名,應用為ANY,并且展開后的匹配規則的應用為5種協議(HTTP、HTTPS、SMTP、SMTPS、SSL)。
訪問控制策略的目的類型為域名地址簿。
按四元組、應用和域名順序匹配的流程如下:
當流量經過云防火墻時,云防火墻匹配訪問控制策略和流量的四元組。
云防火墻匹配訪問控制策略和流量的應用。
云防火墻識別出流量應用,并且流量命中訪問控制策略的應用,云防火墻繼續匹配訪問控制策略和流量的域名,跳轉至步驟3。
云防火墻識別出流量應用,但流量未命中訪問控制策略的應用,云防火墻判斷是否存在下一條訪問控制策略。
如果存在,則繼續匹配下一優先級訪問控制策略和流量的四元組,直到命中某一條訪問控制策略的四元組和應用,然后繼續往下匹配該訪問控制策略和流量的域名,跳轉至步驟3。
如果匹配完所有訪問控制策略后仍沒有命中,則結束訪問控制策略匹配階段。
如果不存在,則結束訪問控制策略匹配階段。
云防火墻無法識別流量應用,此時云防火墻會判斷當前的識別模式是嚴格模式或寬松模式。
寬松模式下,為了不影響業務,云防火墻默認放行該流量。
嚴格模式下,云防火墻不會直接放行該流量包,而是繼續匹配下一優先級訪問控制策略,直到命中某一條訪問控制策略,然后執行命中策略的動作(放行或拒絕)。
如果匹配完所有訪問控制策略后仍沒有命中,則云防火墻默認放行該流量。
云防火墻匹配訪問控制策略和流量的域名。
云防火墻識別出流量域名,并且流量域名命中訪問控制策略的域名,云防火墻執行該條訪問控制策略動作(放行或拒絕)。
云防火墻識別出流量域名,但流量域名未命中訪問控制策略的域名,云防火墻判斷是否存在下一條訪問控制策略。
如果存在,則繼續匹配下一優先級訪問控制策略和流量的四元組。
如果不存在,則結束訪問控制策略匹配階段。
云防火墻無法識別流量域名,此時云防火墻會判斷當前的識別模式是嚴格模式或寬松模式。
寬松模式下,為了不影響業務,云防火墻默認放行該流量。
嚴格模式下,云防火墻不會直接放行該流量包,而是繼續匹配下一優先級訪問控制策略,直到命中某一條訪問控制策略,然后執行命中策略的動作(放行或拒絕)。
如果匹配完所有訪問控制策略后仍沒有命中,則云防火墻默認放行該流量。
配置示例
以下以互聯網邊界的訪問控制策略為例,為您介紹不同場景下的策略匹配情況,以便您更好地了解訪問控制策略的工作原理。
場景一:訪問控制策略目的類型為IP地址
您在云防火墻控制臺創建了兩條訪問控制策略。
訪問控制策略A
訪問控制策略B
訪問源:192.0.2.0/24
目的:198.51.100.0/24
協議類型:TCP
端口:80/88
應用:HTTP
動作:放行
優先級:1
訪問源:0.0.0.0/0
目的:0.0.0.0/0
協議類型:ANY
端口:0/0
應用:ANY
動作:拒絕
優先級:2
云防火墻根據展開邏輯,將訪問控制策略展開為多條匹配規則并下發到引擎。
當流量經過云防火墻時,云防火墻按照策略優先級順序依次匹配流量。
示例
流量報文
匹配結果
示例一
(匹配一致)
訪問源:192.0.2.1
目的:198.51.100.1
協議:TCP
端口:80
應用:HTTP
匹配策略A的四元組。→命中
匹配策略A的應用。→命中
執行策略A的動作:放行流量包
示例二
(源IP未匹配)
訪問源:203.0.113.1
目的:198.51.100.1
協議:TCP
端口:80
應用:HTTP
匹配策略A的四元組。→未命中
匹配策略B的四元組。→命中
執行策略B的動作:拒絕流量包
示例三
(應用未識別)
訪問源:192.0.2.4
目的:198.51.100.1
協議:TCP
端口:80
應用:Unknown
匹配策略A的四元組。→命中
匹配策略A的應用。→無法識別流量應用
判斷當前模式。
寬松模式下:默認放行流量
嚴格模式下:繼續匹配策略B
匹配策略B的四元組。→命中
執行策略B動作:拒絕流量包
場景二:訪問控制策略目的類型為域名
您在云防火墻控制臺創建了多條訪問控制策略。
訪問控制策略A
訪問控制策略B
訪問控制策略C
訪問控制策略D
訪問源:192.0.2.0/24
目的:www.aliyun.com
協議類型:TCP
端口:0/0
應用:HTTP, HTTPS
動作:放行
優先級:1
說明該策略目的域名以Host或者SNI字段匹配。
訪問源:198.51.100.0/24
目的:www.aliyun.com
協議類型:TCP
端口:0/0
應用:SSH
動作:放行
優先級:2
說明該策略目的域名以DNS解析的IP匹配。
訪問源:203.0.113.0/24
目的:www.aliyun.com
協議類型:TCP
端口:0/0
應用:SMTP
動作:放行
優先級:3
訪問源:0.0.0.0/0
目的:0.0.0.0/0
協議類型:ANY
端口:0/0
應用:ANY
動作:拒絕
優先級:4
云防火墻根據展開邏輯,將訪問控制策略展開為多條匹配規則并下發到引擎。
防護資產的流量經過云防火墻時,云防火墻按照策略優先級順序依次匹配流量。
說明假設www.aliyun.com解析后的IP為106.XX.XX.5。
示例
流量報文
匹配結果
示例一
訪問源:192.0.2.1
目的:106.XX.XX.5
協議類型:TCP
端口:80
應用:HTTP
域名:www.aliyun.com
匹配策略A的四元組。→命中
匹配策略A的應用。→命中
匹配策略A的域名。→命中
執行策略A的動作:放行流量包
示例二
訪問源:203.0.113.3
目的:106.XX.XX.5
協議類型:TCP
端口:443
應用:HTTPS
域名:www.aliyun.com
匹配策略A的四元組。→未命中
匹配策略B的四元組。→未命中
匹配策略C的四元組。→命中
匹配策略C的應用。→未命中
匹配策略D的四元組。→命中
執行策略D的動作:拒絕流量包
示例三
訪問源:198.51.100.1
目的:106.XX.XX.5
協議類型:ANY
端口:22
應用:SSH
域名:www.aliyun.com
匹配策略A的四元組。→未命中
匹配策略B的四元組。→命中
匹配策略B的應用。→命中
執行策略B的動作:放行流量包
示例四
訪問源:192.0.2.2
目的:106.XX.XX.5
協議:TCP
端口:80
應用:Unknown
匹配策略A的四元組。→命中
匹配策略A的應用。→無法識別流量應用
判斷當前模式。
寬松模式下:默認放行流量
嚴格模式下:繼續匹配策略B
匹配策略B的四元組。→未命中
匹配策略C的四元組。→未命中
匹配策略D的四元組。→命中
執行策略D動作:拒絕流量包
示例五
訪問源:192.0.2.3
目的:106.XX.XX.5
協議:TCP
端口:80
應用:HTTP
域名:Unknown
匹配策略A的四元組。→命中
匹配策略A的應用。→命中
匹配策略A的域名。→無法識別流量域名
判斷當前模式。
寬松模式下:默認放行流量
嚴格模式下:繼續匹配策略B
匹配策略B的四元組。→未命中
匹配策略C的四元組。→未命中
匹配策略D的四元組。→命中
執行策略D動作:拒絕流量包
場景三:訪問控制策略目的類型為域名地址簿
您在云防火墻控制臺創建了兩條訪問控制策略。
訪問控制策略A
訪問控制策略B
訪問源:192.0.2.0/24
目的:www.aliyun.com, www.example.com
協議類型:TCP
端口:0/0
應用:HTTP、HTTPS
動作:放行
優先級:1
訪問源:0.0.0.0/0
目的:0.0.0.0/0
協議類型:ANY
端口:0/0
應用:ANY
動作:拒絕
優先級:2
云防火墻分析您創建好的訪問控制策略,并將訪問控制策略A拆分為多條匹配規則。
當流量經過云防火墻時,云防火墻按照策略優先級順序依次匹配流量。
說明假設www.aliyun.com解析后的IP為106.XX.XX.5,www.example.com解析后的IP為107.XX.XX.7。
示例
流量報文
匹配結果
示例一
訪問源:192.0.2.1
目的:106.XX.XX.5
協議類型:TCP
端口:80
應用:HTTP
域名:www.aliyun.com
匹配策略A的四元組。→命中
匹配策略A的應用。→命中
匹配策略A的域名。→命中
執行策略A的動作:放行流量包
示例二
訪問源:192.0.2.2
目的:107.XX.XX.7
協議類型:TCP
端口:22
應用:SSH
域名:www.example.com
匹配策略A的四元組。→命中
匹配策略A的應用。→未命中
匹配策略B的四元組。→命中
執行策略B的動作:拒絕流量包
示例三
訪問源:192.0.2.3
目的:107.XX.XX.7
協議類型:TCP
端口:22
應用:Unknown
域名:www.example.com
匹配策略A的四元組。→命中
匹配策略A的應用。→無法識別流量應用
判斷當前模式。
寬松模式下:默認放行流量
嚴格模式下:繼續匹配策略B
匹配策略B的四元組。→命中
執行策略B動作:拒絕流量包
示例四
訪問源:192.0.2.4
目的:106.XX.XX.5
協議類型:TCP
端口:80
應用:HTTP
域名:Unknown
匹配策略A的四元組。→命中
匹配策略A的應用。→命中
匹配策略A的域名。→無法識別流量域名
判斷當前模式。
寬松模式下:默認放行流量
嚴格模式下:繼續匹配策略B
匹配策略B的四元組。→命中
執行策略B動作:拒絕流量包
相關文檔
更多訪問控制策略介紹,請參見訪問控制策略概述。
配置互聯網邊界訪問控制策略,請參見互聯網邊界(出入雙向流量)。
配置NAT邊界訪問控制策略,請參見NAT邊界。
配置VPC邊界訪問控制策略,請參見VPC邊界。