配置主機(jī)邊界防火墻

安全組是ECS提供的分布式虛擬主機(jī)防火墻，具備狀態(tài)檢測(cè)和數(shù)據(jù)包過濾功能，用于設(shè)置ECS實(shí)例間的網(wǎng)絡(luò)訪問控制。安全組是由同一個(gè)地域（Region）內(nèi)具有相同安全防護(hù)需求并相互信任的實(shí)例組成。在創(chuàng)建實(shí)例的時(shí)候您需要指定安全組，每個(gè)實(shí)例至少屬于一個(gè)安全組。

主機(jī)防火墻底層使用了安全組的功能，您既可以在訪問控制頁面的主機(jī)邊界防火墻頁簽下配置策略，也可以在ECS管理控制臺(tái)配置策略，兩邊配置自動(dòng)保持同步。

完成以下操作，配置主機(jī)邊界防火墻：

1. 登錄云防火墻控制臺(tái)。

2. 在左側(cè)導(dǎo)航欄，選擇防護(hù)配置 > 訪問控制 > 主機(jī)邊界。

3. 創(chuàng)建策略組。

   1. 在主機(jī)邊界頁面，單擊新增策略組。

   2. 在新增策略組對(duì)話框中，配置策略組。

      配置項(xiàng)	說明
      策略組類型	選擇策略組的類型： 普通策略組 企業(yè)策略組
      策略組名稱	按頁面提示要求設(shè)置策略組的名稱。 建議使用方便識(shí)別的名稱，便于識(shí)別和管理。
      所屬VPC	選擇應(yīng)用該策略組的專有網(wǎng)絡(luò)VPC。 每個(gè)策略組只能配置一個(gè)VPC。
      實(shí)例ID	從實(shí)例ID下拉列表中，選擇應(yīng)用該策略組的一個(gè)或多個(gè)ECS實(shí)例。 說明 實(shí)例ID列表只包含所屬VPC下的ECS實(shí)例。
      描述	簡(jiǎn)短地描述策略組，方便后續(xù)對(duì)安全組進(jìn)行管理。
      模板	從模板下拉列表中，選擇要應(yīng)用的模板類型： default-accept-login：默認(rèn)放行TCP 22、TCP 3389協(xié)議入方向訪問和所有出方向訪問。 default-accept-all：默認(rèn)放行所有入方向和出方向訪問。 default-drop-all：默認(rèn)拒絕所有入方向和出方向訪問。 說明 企業(yè)策略組不支持default-drop-all選項(xiàng)。

4. 配置策略。

   1. 在主機(jī)邊界頁面，找到待設(shè)置的策略組，單擊操作列下的配置策略。

   2. 在入方向或者出方向頁簽，單擊創(chuàng)建策略。

   3. 在創(chuàng)建策略對(duì)話框中，配置策略參數(shù)。

      配置項(xiàng)	說明
      網(wǎng)卡類型	默認(rèn)為內(nèi)網(wǎng)，表示ECS的出方向和入方向的流量。
      策略方向	選擇策略生效方向。 入方向：指其他ECS實(shí)例訪問策略組關(guān)聯(lián)的ECS實(shí)例。 出方向：指策略組內(nèi)的ECS實(shí)例訪問其他ECS實(shí)例。
      策略類型	選擇策略類型。 允許：放行相應(yīng)的訪問流量。 拒絕：直接丟棄數(shù)據(jù)包，不會(huì)返回任何回應(yīng)信息。如果兩條策略其他配置都相同，只有策略類型不同，則拒絕策略生效，允許策略不生效。 說明 企業(yè)策略組不支持拒絕選項(xiàng)。
      協(xié)議類型	選擇訪問流量的協(xié)議類型。 選擇ANY時(shí)，表示任何協(xié)議類型。不確定訪問流量的類型時(shí)可選擇ANY。
      端口范圍	輸入訪問流量使用的端口地址范圍。 如果填寫端口段，例如1~200的所有端口，則填寫1/200；如果填寫指定端口，例如80端口，則填寫80/80。
      優(yōu)先級(jí)	策略生效的優(yōu)先級(jí)。使用整數(shù)表示，取值范圍：1~100。優(yōu)先級(jí)數(shù)值越小，優(yōu)先級(jí)越高。 優(yōu)先級(jí)數(shù)值可重復(fù)。策略優(yōu)先級(jí)相同時(shí)，拒絕類型的策略優(yōu)先生效。
      源類型、源對(duì)象	選擇訪問流量的來源，策略方向選擇入方向時(shí)需要設(shè)置。您可以選擇訪問源地址的類型，并根據(jù)源類型設(shè)置源對(duì)象。 地址段訪問 選擇該類型后，需要在源對(duì)象中手動(dòng)輸入訪問源地址段。僅支持設(shè)置單個(gè)地址段。 策略組 選擇該類型后，需要從源對(duì)象的策略組列表，選擇一個(gè)策略組作為源對(duì)象，表示對(duì)來自該策略組中所有ECS實(shí)例的流量進(jìn)行管控。 說明 企業(yè)策略組不支持策略組選項(xiàng)。 前綴列表 選擇該類型后，需要從源對(duì)象的前綴列表，選擇一個(gè)前綴列表作為源對(duì)象，云防火墻能夠?qū)εc指定前綴列表的IP地址訪問ECS實(shí)例的流量進(jìn)行管控。關(guān)于前綴列表的介紹，請(qǐng)參見使用前綴列表提高安全組規(guī)則管理的效率。
      目的選擇	選擇訪問流量的目的地址。策略方向選擇入方向時(shí)需要設(shè)置。可選擇的目的地址類型： 全部ECS：表示關(guān)聯(lián)當(dāng)前策略組的所有ECS實(shí)例。 地址段訪問：輸入關(guān)聯(lián)到當(dāng)前策略組的ECS實(shí)例的IP地址，采用CIDR地址段格式。表示僅管控指定地址的ECS實(shí)例的入方向流量。
      源選擇	選擇訪問源的類型。策略方向選擇出方向時(shí)需要設(shè)置。訪問源包含以下類型： 全部ECS：表示關(guān)聯(lián)當(dāng)前策略組的所有ECS實(shí)例。 地址段訪問：選擇該類型后，需要輸入源IP或CIDR地址段，表示當(dāng)前策略組中該地址段對(duì)應(yīng)的ECS實(shí)例。
      目的類型、目的對(duì)象	選擇目的地址的類型并根據(jù)選擇的目的類型設(shè)置目的對(duì)象。策略方向選擇出方向時(shí)需要設(shè)置。 可選的目的類型如下： 地址段訪問 選擇該類型后，需要手動(dòng)輸入訪問目的地址段。僅支持設(shè)置單個(gè)地址段。 策略組 選擇該類型后，從策略組列表中選擇一個(gè)策略組，表示對(duì)本機(jī)訪問該策略組中所有ECS實(shí)例的流量進(jìn)行管控。 說明 企業(yè)策略組不支持策略組選項(xiàng)。 前綴列表 選擇該類型后，需要從前綴列表中一個(gè)前綴列表，表示對(duì)該前綴列表關(guān)聯(lián)的安全組的所有ECS實(shí)例的流量進(jìn)行管控。關(guān)于前綴列表的介紹，請(qǐng)參見使用前綴列表提高安全組規(guī)則管理的效率。
      描述	策略的描述信息。

   4. 單擊提交。

      策略組創(chuàng)建完成后，您可以在主機(jī)邊界防火墻的策略組列表中查看新建的策略組。

5. 發(fā)布策略。

   1. 在主機(jī)邊界頁面，找到待設(shè)置的策略組，單擊操作列下的發(fā)布。

   2. 在策略發(fā)布對(duì)話框中，設(shè)置變更備注，確認(rèn)變更策略（即策略的變更內(nèi)容），并單擊確定。

      策略發(fā)布后才會(huì)同步到ECS安全組并生效。您可以在ECS控制臺(tái)的安全組 > 安全組列表頁面，查看云防火墻同步到安全組中的訪問控制策略。云防火墻創(chuàng)建的策略組策略名稱默認(rèn)為Cloud_Firewall_Security_Group。

主機(jī)邊界防火墻配置完成后，即開始控制ECS實(shí)例間的訪問。