本文介紹常見的訪問控制策略配置示例,幫您更清楚地了解如何配置互聯網邊界防火墻、VPC邊界防火墻、主機邊界防火墻的訪問控制策略。
互聯網邊界防火墻策略配置示例
云防火墻的入方向和出方向流量是指面向互聯網的流量,也就是南北向流量。您可以通過云防火墻訪問控制功能對南北向的訪問控制策略進行自定義配置,從而實現對訪問流量的精準控制、保護您的網絡安全。關于互聯網邊界防火墻策略的配置項介紹,請參見互聯網邊界(出入雙向流量)。
只允許公網流量訪問指定端口的策略(入方向)
示例:ECS(主機)IP地址是10.1.XX.XX,綁定的EIP是200.2.XX.XX/32,需要設置所有公網(0.0.0.0/0)流量只允許訪問主機的TCP 80端口。
登錄云防火墻控制臺。
在左側導航欄,選擇。
在入向頁簽,單擊創建策略。在創建入向策略面板的自定義創建頁簽,配置如下策略。
配置一條允許所有公網流量訪問主機的策略,單擊確定。
關鍵配置項如下:
配置項
說明
示例值
源類型
網絡流量的發起方。您需要選擇訪問源類型,并根據訪問源類型輸入發送流量的訪問源地址。
IP
訪問源
0.0.0.0/0
說明0.0.0.0/0表示所有公網IP。
目的類型
網絡流量的接收方。您需要選擇目的類型,并根據目的類型輸入接收流量的目的地址。
IP
目的
200.2.XX.XX/32
協議類型
傳輸層協議類型,支持設置為:TCP、UDP、ICMP、ANY。不確定具體協議時可選擇ANY。
TCP
端口類型
設置目的端口類型和目的端口。
端口
端口
80/80
應用
設置訪問流量的應用類型。
ANY
動作
設置匹配成功的流量在該條策略的放行情況。
放行
優先級
選擇該策略的優先級,默認為最后,表示優先級最低。
最前
啟用狀態
設置是否啟用策略。如果您創建策略時未啟用策略,可以在策略列表中開啟策略。
啟用
配置一條拒絕所有公網流量訪問所有主機的策略,單擊確定。
參考上述放行策略,配置拒絕策略,關鍵配置項如下:
目的:0.0.0.0/0
說明0.0.0.0/0表示所有主機的IP地址。
協議類型:ANY
端口:0/0
說明0/0表示主機的所有端口。
應用:ANY
動作:拒絕
優先級:最后
配置完成后,您需要確認允許外到內流量訪問主機的TCP 80端口的策略優先級高于拒絕所有外到內流量訪問主機的策略。
VPC邊界防火墻策略配置示例
VPC邊界防火墻可用于檢測和控制兩個VPC間的通信流量,也就是東西向流量。在對兩個VPC之間的流量管控時,您需要拒絕可疑流量或惡意流量,或者先放行可信流量,再拒絕其他地址的訪問。關于VPC邊界防火墻策略的配置項介紹,請參見VPC邊界。
不同VPC內ECS之間禁止訪問
兩個VPC同屬于一個云企業網,或者已通過高速通道連接,則這兩個VPC下部署的ECS之間可以互訪。
示例:VPC1和VPC2同屬于一個云企業網,VPC1下部署了ECS1實例(10.33.XX.XX/32),VPC2下部署了ECS2實例(10.66.XX.XX/32),需要禁止ECS1訪問ECS2。
登錄云防火墻控制臺
在左側導航欄,選擇。
在VPC邊界頁面,單擊創建策略。
在創建策略-VPC邊界面板,配置如下策略,然后單擊確認。
關鍵配置項如下:
配置項
說明
示例值
源類型
訪問源地址的類型。
IP
訪問源
發送流量的源地址。
10.33.XX.XX/32
目的類型
目的地址類型。
IP
目的
設置接收流量的目的地址。
10.66.XX.XX/32
協議類型
設置傳輸的協議類型。
TCP
端口類型
設置端口類型。
端口
端口
設置需要放開或限制的端口。可根據端口類型的配置項,手動輸入單個端口,或者單擊選擇,從地址簿中選擇預先配置的端口地址簿。
0/0
應用
設置訪問流量的應用類型。
ANY
動作
允許或拒絕該流量通過VPC邊界防火墻。
攔截
主機邊界防火墻(ECS實例間)策略配置示例
主機邊界防火墻可以對ECS實例間的入流量和出流量進行訪問控制,限制ECS實例間的未授權訪問。主機邊界防火墻的訪問控制策略發布后,會自動同步到ECS安全組并生效。關于主機邊界防火墻策略的配置項介紹,請參見主機邊界(ECS實例出入流量)。
同一策略組中ECS實例之間實現互訪
如果您通過ECS控制臺來設置安全組規則,同一安全組內的ECS實例之間默認互通。這一點是云防火墻主機邊界防火墻與ECS安全組最明顯的區別。
示例:當前策略組sg-test下的存在ECS1和ECS2,ECS1的IP地址是10.33.XX.XX,ECS2的IP地址是10.66.XX.XX。需要實現ECS1和ECS2之間互訪。
登錄云防火墻控制臺。
在左側導航欄,選擇。
在主機邊界頁面,定位到目標策略組,單擊操作列的配置策略。
在入方向頁簽,單擊創建策略。
配置入方向的放行策略,關鍵配置項如下:
配置項
說明
示例值
策略類型:
選擇策略類型。
允許
協議類型
從協議類型列表選擇訪問流量的協議類型。
TCP
端口范圍
輸入訪問流量使用的端口地址范圍。
0/0
源類型、源對象
選擇訪問流量的來源 。策略方向選擇入方向時需要設置。您可以選擇訪問源地址的類型,并根據源類型設置源對象。
源類型:策略組
源對象:sg-test
目的選擇
選擇訪問流量的目的地址。策略方向選擇入方向時需要設置。
地址段訪問,IP地址段設置為10.66.XX.XX
說明如果需要該策略組內的所有ECS實例實現互訪,目的選擇設置為全部ECS。
如果需要該策略組內的部分ECS實例實現互訪,目的選擇設置為地址段訪問,并填寫對端ECS的IP地址段。
如果您是企業安全組,那么也需要配置出方向的放行策略。
普通安全組出方向默認是放行策略,無需您另外配置。
您可以參考入方向的策略進行配置,關鍵配置項如下:
源類型:IP
源對象:10.66.XX.XX
IP地址段:10.33.XX.XX
不同策略組中ECS實例之間互訪
示例:ECS1和ECS2屬于不同的主機邊界防火墻策略組,ECS1的IP地址是10.33.XX.XX,ECS2的IP地址是10.66.XX.XX。需要實現ECS1和ECS2互訪。
登錄云防火墻控制臺。
在左側導航欄,選擇。
在主機邊界頁面,定位到ECS1所在的策略組,單擊操作列的配置策略。
在入方向頁簽,單擊創建策略。
配置入方向的放行策略,關鍵配置項如下:
配置項
說明
示例值
策略類型
選擇策略類型。
允許
協議類型
從協議類型列表中選擇訪問流量的協議類型。
TCP
端口范圍
輸入訪問流量使用的端口地址范圍。
0/0
源類型、源對象
選擇訪問流量的來源 。策略方向選擇入方向時需要設置。您可以選擇訪問源地址的類型,并根據源類型設置源對象。
源類型:IP
源對象:10.66.XX.XX
目的選擇
選擇訪問流量的目的地址。策略方向選擇入方向時需要設置。
地址段訪問,IP地址段設置為10.33.XX.XX
說明如果需要sg-test2策略組內的ECS實例訪問sg-test1策略組所有ECS,目的選擇設置為全部ECS。
如果需要sg-test2策略組內的ECS實例訪問sg-test1策略組部分ECS,目的選擇設置為地址段訪問,并填寫sg-test1策略組內ECS的IP地址段。
如果您是企業安全組,那么也需要配置出方向的放行策略。
普通安全組出方向默認是放行策略,無需您另外配置。
您可以參考入方向的策略進行配置,關鍵配置項如下:
源類型:IP
源對象:10.33.XX.XX
IP地址段:10.66.XX.XX
根據上述ECS1的策略配置,配置ECS2入方向和出方向的放行策略。