訪問控制概述
智能接入網(wǎng)關(guān)SAG(Smart Access Gateway)提供訪問控制功能,您可以通過訪問控制功能,允許或者拒絕指定的流量通過,提高您網(wǎng)絡(luò)的安全性。
功能說明
組成部分
訪問控制基于訪問控制規(guī)則匹配流量并對(duì)流量執(zhí)行相關(guān)的授權(quán)策略。訪問控制規(guī)則由匹配元素和授權(quán)策略兩部分組成:
匹配元素:訪問控制規(guī)則支持通過規(guī)則方向、協(xié)議類型、源網(wǎng)段、源端口、目的網(wǎng)段、目的端口等元素匹配流量。
SAG硬件實(shí)例和SAG App實(shí)例支持不同的匹配元素,關(guān)于SAG硬件實(shí)例和SAG App實(shí)例支持的匹配元素,請(qǐng)參見為SAG App實(shí)例添加訪問控制規(guī)則和為SAG硬件實(shí)例添加訪問控制規(guī)則。
授權(quán)策略:指制定策略允許流量通過或拒絕流量通過。
匹配原則
一個(gè)訪問控制實(shí)例包含一條或多條訪問控制規(guī)則。流量默認(rèn)按照訪問控制規(guī)則的優(yōu)先級(jí),從高優(yōu)先級(jí)的訪問控制規(guī)則開始逐條進(jìn)行匹配(訪問控制規(guī)則優(yōu)先級(jí)的數(shù)值越小,優(yōu)先級(jí)越高),如果流量匹配到多個(gè)優(yōu)先級(jí)相同的訪問控制規(guī)則,則訪問控制規(guī)則生效原則如下:
授權(quán)策略為拒絕的訪問控制規(guī)則優(yōu)先生效。
如果多個(gè)優(yōu)先級(jí)相同的訪問控制規(guī)則的授權(quán)策略也相同,則按照最長(zhǎng)匹配原則,訪問控制規(guī)則中源網(wǎng)段和目的網(wǎng)段與流量的源IP地址和目的IP地址最匹配的訪問控制規(guī)則優(yōu)先生效。
如果多個(gè)優(yōu)先級(jí)相同的訪問控制規(guī)則的授權(quán)策略、源網(wǎng)段、目的網(wǎng)段也相同,則最先配置的訪問控制規(guī)則優(yōu)先生效。
在流量匹配到訪問控制規(guī)則后,系統(tǒng)將按照該訪問控制規(guī)則中的授權(quán)策略執(zhí)行操作,即允許該流量通過或者拒絕該流量通過,同時(shí)該流量的匹配過程立即結(jié)束,不再匹配下一條訪問控制規(guī)則。如果流量沒有匹配到任何訪問控制規(guī)則,那么系統(tǒng)允許該流量通過。
使用限制
僅SAG硬件實(shí)例和SAG App實(shí)例支持訪問控制功能。SAG App實(shí)例使用訪問控制功能默認(rèn)不開放,如需使用,請(qǐng)向客戶經(jīng)理申請(qǐng)。
僅SAG硬件實(shí)例支持創(chuàng)建基于應(yīng)用的訪問控制規(guī)則。
創(chuàng)建訪問控制實(shí)例后,不支持修改訪問控制實(shí)例的實(shí)例類型。
訪問控制功能的資源配額限制如下表所示:
資源
默認(rèn)限制
申請(qǐng)更多配額
一個(gè)SAG硬件實(shí)例可關(guān)聯(lián)的訪問控制實(shí)例個(gè)數(shù)
1
無法調(diào)整
一個(gè)SAG App實(shí)例可關(guān)聯(lián)的訪問控制實(shí)例個(gè)數(shù)
1
無法調(diào)整
一個(gè)關(guān)聯(lián)SAG硬件實(shí)例的訪問控制實(shí)例可創(chuàng)建的訪問控制規(guī)則個(gè)數(shù)
50
無法調(diào)整
一個(gè)關(guān)聯(lián)SAG App實(shí)例的訪問控制實(shí)例可創(chuàng)建的訪問控制規(guī)則個(gè)數(shù)
50
無法調(diào)整
一個(gè)阿里云賬號(hào)可創(chuàng)建的訪問控制實(shí)例個(gè)數(shù)
10
無法調(diào)整
使用流程
