配置互聯(lián)網(wǎng)邊界訪問控制策略
本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業(yè)務(wù)造成影響,請務(wù)必仔細(xì)閱讀。
開啟互聯(lián)網(wǎng)邊界防火墻后,如果您未配置訪問控制策略,云防火墻在訪問控制策略匹配環(huán)節(jié)中默認(rèn)放行所有流量。您可以配置公網(wǎng)資產(chǎn)的出向(內(nèi)部網(wǎng)絡(luò)訪問外部互聯(lián)網(wǎng))策略和入向(外部互聯(lián)網(wǎng)訪問內(nèi)部網(wǎng)絡(luò))策略,避免公網(wǎng)資產(chǎn)和互聯(lián)網(wǎng)之間的未授權(quán)訪問。本文介紹如何配置互聯(lián)網(wǎng)邊界防火墻的訪問控制策略。
前提條件
已開啟互聯(lián)網(wǎng)邊界防火墻開關(guān),并且已開啟公網(wǎng)資產(chǎn)保護(hù)。具體操作,請參見開啟互聯(lián)網(wǎng)邊界防火墻。
云防火墻支持防護(hù)的公網(wǎng)資產(chǎn)范圍,請參見防護(hù)范圍。
已購買足夠的策略授權(quán)規(guī)格數(shù)。您可以在頁面,查看策略的使用規(guī)格。關(guān)于策略占用規(guī)格的計(jì)算方法,請參見訪問控制策略概述。
如果剩余可用的策略授權(quán)規(guī)格不足,您可以單擊規(guī)格升級,購買訪問控制全局?jǐn)U展數(shù)量。更多操作,請參見購買云防火墻服務(wù)。
如果您需要同時添加多個對象作為訪問源地址或目的地址,您可以先添加地址簿。具體操作,請參見地址簿管理。
配置互聯(lián)網(wǎng)邊界訪問控制策略
云防火墻提供以下訪問控制策略配置方式,您可以根據(jù)實(shí)際需要,配置策略。
自定義訪問控制策略:您可以根據(jù)業(yè)務(wù)需求,自定義符合業(yè)務(wù)場景的策略。
下發(fā)智能推薦策略:云防火墻自動學(xué)習(xí)您的業(yè)務(wù)近30日的流量情況,結(jié)合發(fā)現(xiàn)的流量風(fēng)險,為您推薦適合您業(yè)務(wù)的訪問控制策略,您可以根據(jù)需要選擇是否下發(fā)推薦的策略。
下發(fā)常用推薦策略:云防火墻內(nèi)置的推薦策略。如果常用的推薦策略符合您的業(yè)務(wù)需求,您可以直接下發(fā)對應(yīng)的常用策略。
對于已開放的公網(wǎng)IP,我們建議您在云防火墻上放行已開放且有流量的端口,并拒絕所有到其他端口的訪問,從而減少資產(chǎn)在互聯(lián)網(wǎng)的暴露面。
如果您需要配置放行可信源(包括IP、域名等)、拒絕其他訪問源的策略。推薦配置:首先創(chuàng)建一個放行可信源的高優(yōu)先級策略;再創(chuàng)建一個拒絕所有訪問源的低優(yōu)先級策略。
未下發(fā)的智能推薦策略和常用推薦策略不會生效。
自定義訪問控制策略
您可以按需自定義互聯(lián)網(wǎng)邊界防火墻的出向策略(內(nèi)網(wǎng)訪問外部互聯(lián)網(wǎng))和入向策略(外部互聯(lián)網(wǎng)訪問您的內(nèi)部網(wǎng)絡(luò))。
登錄云防火墻控制臺。
在左側(cè)導(dǎo)航欄,選擇。
在出向或者入向頁簽,選擇需要創(chuàng)建的IP類型(默認(rèn)創(chuàng)建IPv4類型的策略),然后單擊創(chuàng)建策略。
在創(chuàng)建出向策略或者創(chuàng)建入向策略面板,單擊自定義創(chuàng)建。
參考以下表格,配置策略詳情,然后單擊確定。
配置項(xiàng)
說明
源類型
網(wǎng)絡(luò)流量的發(fā)起方。您需要選擇訪問源類型,并根據(jù)訪問源類型輸入發(fā)送流量的訪問源地址。
選擇IP類型時,需要輸入IP地址段。地址段需要使用標(biāo)準(zhǔn)掩碼格式,例如192.168.0.0/16。最多支持輸入2000個地址段,多個地址段之間使用半角逗號(,)分隔。
如果您同時輸入了多個IP地址段,云防火墻會自動將輸入的多個地址段創(chuàng)建為地址簿,并在您保存策略配置時提示您設(shè)置地址簿名稱。
選擇地址簿類型時,您需要提前創(chuàng)建IP地址簿(IPv4或IPv6)。創(chuàng)建地址簿的具體操作,請參見地址簿管理。
訪問源
目的類型
網(wǎng)絡(luò)流量的接收方。您需要選擇目的類型,并根據(jù)目的類型輸入接收流量的目的地址。
選擇IP類型時,需要輸入IP地址段。地址段需要使用標(biāo)準(zhǔn)掩碼格式,例如192.168.0.0/16。最多支持輸入2000個地址段,多個地址段之間使用半角逗號(,)分隔。
如果您同時輸入了多個IP地址段,云防火墻會自動將輸入的多個地址段創(chuàng)建為地址簿,并在您保存策略配置時提示您設(shè)置地址簿名稱。
選擇地址簿類型時,您需要提前創(chuàng)建IP地址簿(IPv4或IPv6)。創(chuàng)建地址簿的具體操作,請參見地址簿管理。
選擇域名類型時,您需要選擇域名的識別模式。目前提供三種域名的識別模式:
基于FQDN(報(bào)文提取Host/SNI):管理HTTP、HTTPS、SMTP、SMTPS、SSL五種協(xié)議流量時,建議使用此模式。
基于DNS動態(tài)解析:管理HTTP、HTTPS、SMTP、SMTPS、SSL以外的流量時,建議使用此模式。
重要此模式不支持泛域名。
同時基于FQDN與DNS動態(tài)解析:管理HTTP、HTTPS、SMTP、SMTPS、SSL五種協(xié)議流量,但部分或全部流量中未攜帶 HOST/SNI字段時,建議使用此模式。
重要此模式僅在開啟ACL引擎管理嚴(yán)格模式時生效。
選擇區(qū)域類型時,需要選擇目的地址所在的區(qū)域。可選中國區(qū)域或國際區(qū)域。
目的
協(xié)議類型
傳輸層協(xié)議類型,支持設(shè)置為:TCP、UDP、ICMP、ANY。不確定具體協(xié)議時可選擇ANY。
端口類型
設(shè)置目的端口類型和目的端口。
選擇端口類型時,需要輸入端口段。端口段中間通過正斜線(/)分隔,例如22/22、80/88。最多可添加2000個端口段,多個端口段之間使用半角逗號(,)隔開。
如果您同時輸入了多個端口段,云防火墻會自動將輸入的多個端口段創(chuàng)建為地址簿,并在您保存策略配置時提示您設(shè)置地址簿名稱。
地址簿:選擇地址簿類型時,您需要提前創(chuàng)建端口地址簿。創(chuàng)建地址簿的具體操作,請參見地址簿管理。
端口
應(yīng)用
設(shè)置訪問流量的應(yīng)用類型。
協(xié)議類型選擇TCP時,應(yīng)用類型支持選擇為HTTP、HTTPS、SMTP、SMTPS、SSL、FTP等。
協(xié)議類型選擇UDP、ICMP或ANY時,應(yīng)用類型僅允許選擇為ANY。
目的類型選擇域名地址簿或域名時,應(yīng)用類型僅允許選擇為HTTP、HTTPS、SMTP、SMTPS和SSL。
域名模式使用DNS動態(tài)解析時,您可以選擇所有應(yīng)用。
域名模式使用基于FQDN(報(bào)文提取Host/SNI)時,您只能選擇HTTP、HTTPS、SMTP、SMTPS或SSL。
域名模式使用同時基于FQDN(報(bào)文提取Host/SNI)與DNS動態(tài)解析時,您只能選擇HTTP、HTTPS、SMTP、SMTPS、SSL。
說明識別應(yīng)用依賴應(yīng)用報(bào)文特征(協(xié)議識別不依據(jù)端口),應(yīng)用識別失敗時,該會話流量會被放行。如果您想攔截未知應(yīng)用類型的流量,建議您開啟互聯(lián)網(wǎng)邊界防火墻嚴(yán)格模式。更多信息,請參見訪問控制引擎模式介紹。
動作
設(shè)置匹配成功的流量在該條策略的放行情況。
放行:放行該流量。
拒絕:攔截該流量,并且不會提供任何形式的通知信息。
觀察:該模式下,默認(rèn)放行流量。觀察一段時間后,您可根據(jù)需要調(diào)整為放行或拒絕。
描述
輸入該策略的備注內(nèi)容,便于您后續(xù)查看時能快速區(qū)分每個策略的目的。
優(yōu)先級
選擇該策略的優(yōu)先級,默認(rèn)為最后,表示優(yōu)先級最低。
最前:指訪問控制策略生效的優(yōu)先級最高,最先生效。
最后:指訪問控制策略生效的優(yōu)先級最低,最后生效。
策略有效期
設(shè)置該策略的有效時間段。策略僅在有效時間段內(nèi)才可用于匹配流量。
總是
單次時間段:選擇單次時間段。
重復(fù)周期:選擇重復(fù)的時間段和生效日期。
說明生效日期的開始時間應(yīng)小于停止時間,預(yù)計(jì)策略生效延時3~5分鐘。
勾選無限重復(fù),生效結(jié)束時間會自動設(shè)置為2099.12.31。
相關(guān)FAQ:配置策略有效期時,如果重復(fù)周期跨天會生效嗎?
啟用狀態(tài)
設(shè)置是否啟用策略。如果您創(chuàng)建策略時未啟用策略,可以在策略列表中開啟策略。
配置項(xiàng)
說明
源類型
網(wǎng)絡(luò)流量的發(fā)起方。您需要選擇訪問源類型,并根據(jù)訪問源類型輸入發(fā)送流量的訪問源地址。
選擇IP類型時,需要輸入IP地址段。地址段需要使用標(biāo)準(zhǔn)掩碼格式,例如192.168.0.0/16。最多支持輸入2000個地址段,多個地址段之間使用半角逗號(,)分隔。
如果您同時輸入了多個IP地址段,云防火墻會自動將輸入的多個地址段創(chuàng)建為地址簿,并在您保存策略配置時提示您設(shè)置地址簿名稱。
選擇地址簿類型時,您需要提前創(chuàng)建地址簿。創(chuàng)建地址簿的具體操作,請參見地址簿管理。
選擇區(qū)域類型時,需要選擇源地址所在的區(qū)域。可選中國區(qū)域或國際區(qū)域。
訪問源
目的類型
網(wǎng)絡(luò)流量的接收方。您需要選擇目的類型,并根據(jù)目的類型輸入接收流量的目的地址。
選擇IP類型時,需要輸入IP地址段。地址段需要使用標(biāo)準(zhǔn)掩碼格式,例如192.168.0.0/16。最多支持輸入2000個地址段,多個地址段之間使用半角逗號(,)分隔。
如果您同時輸入了多個IP地址段,云防火墻會自動將輸入的多個地址段創(chuàng)建為地址簿,并在您保存策略配置時提示您設(shè)置地址簿名稱。
選擇地址簿類型時,您需要提前創(chuàng)建IP地址簿。創(chuàng)建地址簿的具體操作,請參見地址簿管理。
目的
協(xié)議類型
傳輸層協(xié)議類型,支持設(shè)置為:TCP、UDP、ICMP、ANY。不確定具體協(xié)議時可選擇ANY。
端口類型
設(shè)置目的端口類型和目的端口。
選擇端口類型時,需要輸入端口段。端口段中間通過正斜線(/)分隔,例如22/22、80/88。最多可添加2000個端口段,多個端口段之間使用半角逗號(,)隔開。
如果您同時輸入了多個端口段,云防火墻會自動將輸入的多個端口段創(chuàng)建為地址簿,并在您保存策略配置時提示您設(shè)置地址簿名稱。
地址簿:選擇地址簿類型時,您需要提前創(chuàng)建端口地址簿。創(chuàng)建地址簿的具體操作,請參見地址簿管理。
端口
應(yīng)用
設(shè)置該訪問流量的應(yīng)用類型。
域名模式使用DNS動態(tài)解析時,您可以選擇所有應(yīng)用。
域名模式使用基于FQDN(報(bào)文提取Host/SNI)時,您只能選擇HTTP、HTTPS、SMTP、SMTPS或SSL。
域名模式使用同時基于FQDN(報(bào)文提取Host/SNI)與DNS動態(tài)解析時,您只能選擇HTTP、HTTPS、SMTP、SMTPS、SSL。
協(xié)議類型選擇TCP時,應(yīng)用類型支持選擇為HTTP、HTTPS、SMTP、SMTPS、SSL、FTP等。
協(xié)議類型選擇UDP、ICMP或ANY時,應(yīng)用類型僅允許選擇為ANY。
說明識別應(yīng)用依賴應(yīng)用報(bào)文特征(協(xié)議識別不依據(jù)端口),應(yīng)用識別失敗時,該會話流量會被放行。如果您想攔截未知應(yīng)用類型的流量,建議您開啟互聯(lián)網(wǎng)邊界防火墻嚴(yán)格模式。更多信息,請參見訪問控制引擎模式介紹。
動作
設(shè)置匹配成功的流量在該條策略的放行情況。
放行:放行該流量。
拒絕:攔截該流量,并且不會提供任何形式的通知信息。
觀察:該模式下,默認(rèn)放行流量。觀察一段時間后,您可根據(jù)需要調(diào)整為放行或拒絕。
描述
輸入該策略的備注內(nèi)容,便于您后續(xù)查看時能快速區(qū)分每個策略的目的。
優(yōu)先級
選擇該策略的優(yōu)先級,默認(rèn)為最后,表示優(yōu)先級最低。
最前:指訪問控制策略生效的優(yōu)先級最高,最先生效。
最后:指訪問控制策略生效的優(yōu)先級最低,最后生效。
策略有效期
設(shè)置該策略的有效時間段。策略僅在有效時間段內(nèi)才可用于匹配流量。
總是
單次時間段:選擇單次時間段。
重復(fù)周期:選擇重復(fù)的時間段和生效日期。
說明生效日期的開始時間應(yīng)小于停止時間,預(yù)計(jì)策略生效延時3~5分鐘。
勾選無限重復(fù),生效結(jié)束時間會自動設(shè)置為2099.12.31。
相關(guān)FAQ:配置策略有效期時,如果重復(fù)周期跨天會生效嗎?
啟用狀態(tài)
設(shè)置是否啟用策略。如果您創(chuàng)建策略時未啟用策略,可以在策略列表中開啟策略。
下發(fā)智能推薦策略
云防火墻自動學(xué)習(xí)您的業(yè)務(wù)近30日的流量情況,結(jié)合發(fā)現(xiàn)的流量風(fēng)險,為您推薦適合您業(yè)務(wù)的訪問控制策略。如果智能推薦策略符合您的業(yè)務(wù)需求,您可以直接下發(fā)智能推薦策略。
支持下發(fā)出向(內(nèi)網(wǎng)訪問外部互聯(lián)網(wǎng))和入向(外部互聯(lián)網(wǎng)訪問您的內(nèi)部網(wǎng)絡(luò))的智能策略。
下發(fā)策略操作涉及一定風(fēng)險,請確保您已完整知悉即將下發(fā)的策略內(nèi)容,再執(zhí)行下發(fā)操作。
推薦的智能策略支持忽略,忽略后該策略將無法找回,請謹(jǐn)慎操作。
您可以在頁面,查看是否有云防火墻生成的智能策略。
在左側(cè)導(dǎo)航欄,選擇。
通過以下方式,進(jìn)入智能策略推薦頁面。
在策略列表右上角,單擊智能策略,然后單擊出向頁簽或入向頁簽。
在出向頁簽或入向頁簽,單擊創(chuàng)建策略,然后單擊智能策略推薦頁簽。
查看智能推薦策略,在需要下發(fā)的策略區(qū)域單擊下發(fā)策略;或者批量選中需要下發(fā)的多個策略后,單擊批量下發(fā)。
下發(fā)常用推薦策略
如果云防火墻內(nèi)置的常用推薦策略符合您的業(yè)務(wù)需求,您可以直接下發(fā)對應(yīng)的常用策略。
下發(fā)策略操作涉及一定風(fēng)險,請確保您已完整知悉即將下發(fā)的策略內(nèi)容,再執(zhí)行下發(fā)操作。
推薦的常用策略支持忽略,忽略后該策略將無法找回,請謹(jǐn)慎操作。如果您將所有的常用策略均已忽略,那常用推薦策略頁簽也無法顯示。
在左側(cè)導(dǎo)航欄,選擇。
在出向頁簽或入向頁簽,單擊創(chuàng)建策略,然后單擊常用策略推薦頁簽。
查看常用推薦策略,在需要下發(fā)的策略區(qū)域單擊一鍵下發(fā)。
配置ACL引擎模式
配置訪問控制策略后,互聯(lián)網(wǎng)邊界防火墻的ACL引擎模式默認(rèn)為寬松模式。該模式下,如果出現(xiàn)未識別應(yīng)用或域名的業(yè)務(wù)流量時,為了不影響業(yè)務(wù),云防火墻默認(rèn)放行這部分流量。您可以根據(jù)實(shí)際業(yè)務(wù)需要切換為嚴(yán)格模式。
在頁面,單擊訪問控制策略列表右上方ACL引擎管理。
在ACL引擎管理-互聯(lián)網(wǎng)邊界防火墻面板,定位到引擎模式,單擊修改。
在修改引擎模式對話框,選擇引擎模式,然后單擊確定。
嚴(yán)格模式:開啟嚴(yán)格模式后,針對未識別應(yīng)用或域名的流量將嚴(yán)格匹配所配置的策略,如果有配置拒絕策略,將拒絕未識別流量業(yè)務(wù)訪問。
寬松模式:開啟寬松模式后,針對未識別應(yīng)用或域名的業(yè)務(wù)流量將放行,以優(yōu)先保證業(yè)務(wù)。
查看策略的命中情況
業(yè)務(wù)運(yùn)行一段時間后,您可以在訪問控制策略列表的命中次數(shù)/最近命中時間列,查看訪問控制策略的命中情況。
單擊命中次數(shù)可跳轉(zhuǎn)到流量日志頁面,查看流量日志。關(guān)于如何查看流量日志,請參見日志審計(jì)。
相關(guān)操作
創(chuàng)建自定義策略后,您可以在訪問控制自定義策略列表中,對目標(biāo)策略進(jìn)行編輯、刪除(支持逐個刪除和批量刪除)、下載(支持下載自定義策略列表)、復(fù)制或移動(移動即修改策略的優(yōu)先級)。
訪問控制策略的優(yōu)先級可設(shè)置為1~N,其中N為當(dāng)前已配置的訪問控制策略數(shù)量。數(shù)值越小,優(yōu)先級越高。優(yōu)先級修改后,策略原優(yōu)先級之后的策略優(yōu)先級都將相應(yīng)依次遞減。
刪除策略后,該策略管控的流量將不受云防火墻的訪問控制。請謹(jǐn)慎刪除。
相關(guān)文檔
互聯(lián)網(wǎng)邊界防火墻出方向配置了0.0.0.0/0的拒絕策略,為什么還有流量因未命中任何策略而放行?
如果您需要管控公網(wǎng)資產(chǎn)和指定網(wǎng)站域名的訪問流量,請參見只允許公網(wǎng)主機(jī)訪問指定域名的策略配置教程。
如果您需要針對指定區(qū)域進(jìn)行流量訪問控制,請參見拒絕海外區(qū)域訪問主機(jī)的策略配置教程。
訪問控制策略的工作原理,請參見訪問控制策略概述。
更多訪問控制策略配置原則,請參見訪問控制策略配置示例。
查看及管理訪問控制策略中的IP地址簿、端口地址簿、域名地址簿等,請參見地址簿管理。
更多關(guān)于訪問控制策略的配置和使用問題,請參見訪問控制策略常見問題。