訪問控制策略概述
開啟防火墻開關(guān)后,如果您未配置訪問控制策略,云防火墻在訪問控制策略匹配環(huán)節(jié)中默認放行所有流量。您可以根據(jù)業(yè)務(wù)需要,配置不同防火墻的流量攔截和放行策略,以便更好地管控資產(chǎn)的未授權(quán)訪問。本文介紹云防火墻訪問控制策略的工作原理、計費方式等。
功能概述
云防火墻提供適用于互聯(lián)網(wǎng)邊界、NAT邊界、VPC邊界和主機邊界的訪問控制策略能力,您可以為不同的防火墻配置訪問控制策略,攔截未授權(quán)的流量訪問,實現(xiàn)多方位流量的安全隔離管控。本文介紹的訪問控制策略原理僅適用于互聯(lián)網(wǎng)邊界、NAT邊界和VPC邊界訪問控制策略。
主機邊界訪問控制策略的具體信息,請參見配置主機邊界訪問控制策略。
DNS域名訪問控制策略的具體信息,請參見配置DNS邊界訪問控制策略。
策略包含的元素
訪問控制策略支持識別并匹配不同流量元素,實現(xiàn)對相關(guān)流量的放行或拒絕。
匹配項 | 說明 | 配置類型 | 不同策略支持的配置類型 |
訪問源 | 網(wǎng)絡(luò)連接發(fā)起方 |
|
|
目的 | 網(wǎng)絡(luò)連接接收方 | 支持IP、IP地址簿、域名和區(qū)域。
|
|
協(xié)議類型 | 傳輸層協(xié)議 | 支持TCP、UDP、ICMP和ANY。 不確定具體協(xié)議類型時可選擇ANY。 | 所有策略:支持所有類型。 |
端口 | 目的端口 | 對訪問流量經(jīng)過的端口進行訪問控制,支持端口和端口地址簿。 | 取決于選擇的協(xié)議類型。 |
應(yīng)用 | 應(yīng)用層協(xié)議 | 支持HTTP、HTTPS、SMTP、SMTPS、SSL、FTP等多種協(xié)議。 不確定具體應(yīng)用類型時可選擇ANY。 說明 云防火墻會將SSL和TLS應(yīng)用的443端口流量識別為HTTPS類型,SSL和TLS應(yīng)用的其他端口流量會識別為SSL類型。 | 取決于選擇的協(xié)議類型,最多支持同時選擇5種協(xié)議。 |
策略工作原理
如果您未配置任何訪問控制策略,云防火墻在訪問控制策略匹配環(huán)節(jié),默認放行所有流量。
配置訪問控制策略后,云防火墻會按照特定的邏輯將訪問控制策略展開為一條或多條匹配規(guī)則,并下發(fā)到引擎。當流量經(jīng)過云防火墻時,云防火墻按照策略的優(yōu)先級,依次匹配流量報文,如果流量報文命中某一條策略,則執(zhí)行該策略動作,并結(jié)束策略匹配,否則將繼續(xù)匹配下一優(yōu)先級策略,直至命中策略或匹配完所有配置的策略。如果流量匹配完所有訪問控制策略后還是沒有命中,默認放行該流量。
創(chuàng)建、修改和刪除訪問控制策略后,云防火墻約需要3分鐘將策略下發(fā)到引擎。
訪問控制策略的優(yōu)先級數(shù)值越小,優(yōu)先級越高。為了確保訪問策略匹配最優(yōu),建議您將經(jīng)常匹配和細化匹配的策略設(shè)置為高優(yōu)先級。
訪問控制策略的工作原理如下圖所示。
策略執(zhí)行動作
訪問控制策略的動作支持設(shè)置為放行、觀察和拒絕。當流量包的報文元素與訪問控制策略規(guī)則匹配成功時,云防火墻執(zhí)行該訪問控制策略的動作。
策略的動作設(shè)置為觀察模式后,當策略匹配成功時仍會放行流量。您可以在觀察一段時間后,根據(jù)需要調(diào)整為放行或拒絕。
您可以進入流量日志頁面查看流量數(shù)據(jù)。具體操作,請參見日志審計。
策略占用規(guī)格
配置訪問控制策略后,云防火墻將按照訪問源、目的地址、協(xié)議類型、端口、應(yīng)用配置項的對象數(shù)量,統(tǒng)計每條訪問控制策略的實際占用規(guī)格數(shù)。
計算方式
策略占用規(guī)格數(shù)的計算公式如下:
單條策略占用的規(guī)格數(shù)=源地址個數(shù)(IP地址段個數(shù)或區(qū)域個數(shù))*目的地址個數(shù)(IP地址段個數(shù)或區(qū)域個數(shù)或域名個數(shù))*端口段個數(shù)*應(yīng)用數(shù)
重要互聯(lián)網(wǎng)邊界防火墻、VPC邊界防火墻、NAT邊界防火墻均支持配置基于DNS動態(tài)解析域名識別模式的訪問控制策略,此類訪問控制策略(包括基于DNS動態(tài)解析、同時基于FQDN與DNS動態(tài)解析的策略)在各個邊界防火墻的占用規(guī)格數(shù)按照階梯計數(shù)。
當某個邊界防火墻中此類策略總規(guī)格數(shù)為0~200時,此類策略總占用規(guī)格數(shù)計算為實際的總規(guī)格數(shù);當此類策略總規(guī)格數(shù)為200以上,此類策略總占用規(guī)格數(shù)計算為200+超出200的規(guī)格數(shù)*10。
例如,您在互聯(lián)網(wǎng)邊界防火墻已經(jīng)配置了一條目的域名為aliyun.com的基于DNS動態(tài)解析的策略,該策略實際規(guī)格數(shù)為185,此時如果您還需要創(chuàng)建一條基于DNS動態(tài)解析的域名策略,假設(shè)該策略的實際規(guī)格數(shù)為16,則您創(chuàng)建成功后這兩條策略在互聯(lián)網(wǎng)邊界防火墻的總規(guī)格占用數(shù)為200+(185+16-200)*10 = 210。
您可以在訪問控制策略列表的占用規(guī)格數(shù)列,查看每條訪問控制策略的實際占用規(guī)格數(shù)。
訪問控制策略的使用規(guī)格數(shù)=所有訪問控制策略占用的規(guī)格數(shù)之和(包含出向策略和入向策略)
您可以在訪問控制策略的頁面上方,查看對應(yīng)策略的使用規(guī)格。例如互聯(lián)網(wǎng)邊界的使用規(guī)格統(tǒng)計數(shù)據(jù)如下所示:
計費說明
云防火墻包年包月版(高級版、企業(yè)版、旗艦版)的基礎(chǔ)價格默認提供一定數(shù)量的訪問控制策略規(guī)格數(shù)。如果默認提供的訪問控制策略授權(quán)規(guī)格數(shù)不滿足需求,您可以按需擴展。
擴展購買的全局訪問控制策略規(guī)格數(shù)支持互聯(lián)網(wǎng)邊界防火墻、NAT邊界防火墻和VPC邊界防火墻訪問控制策略配置場景共享占用。更多信息,請參見包年包月。
云防火墻按量版最多支持創(chuàng)建互聯(lián)網(wǎng)邊界訪問控制策略2,000規(guī)格數(shù)、NAT邊界訪問控制策略2,000規(guī)格數(shù)、VPC邊界訪問控制策略10,000規(guī)格數(shù),暫時不支持擴展。更多信息,請參見按量付費。
策略占用規(guī)格計算示例
示例 | 策略配置 | 單條策略占用的規(guī)格數(shù) |
示例一 |
| 訪問源IP地址段個數(shù)*目的地址域名個數(shù)*端口段個數(shù)*應(yīng)用數(shù)=2*1*2*2=8 |
示例二 |
| 訪問源區(qū)域個數(shù)*目的地址IP地址段個數(shù)*端口段個數(shù)*應(yīng)用數(shù)=2*1*1*1=2 |
相關(guān)文檔
管控公網(wǎng)資產(chǎn)與互聯(lián)網(wǎng)之間的流量,請參見配置互聯(lián)網(wǎng)邊界訪問控制策略。
管控私網(wǎng)資產(chǎn)訪問互聯(lián)網(wǎng)的流量,請參見配置NAT邊界訪問控制策略。
管控VPC與VPC之間、VPC與線下IDC之間的訪問流量,請參見配置VPC邊界訪問控制策略。
管控ECS之間的訪問流量,請參見配置主機邊界訪問控制策略。
如果您需要了解訪問控制策略的配置規(guī)則和場景示例,請參見訪問控制策略配置示例。
如果您的業(yè)務(wù)同時部署了云防火墻和運維安全中心(堡壘機),您需要合理配置訪問控制策略,避免運維安全中心(堡壘機)訪問被誤攔截。具體操作,請參見云防火墻和運維安全中心(堡壘機)聯(lián)合部署訪問策略的最佳實踐。