访问控制规则支持域名过滤,以及地理位置要求的流量过滤。互联网边界规则提供两张访问控制规则列表,分别是入站规则与出站规则,入站规则:管控外到内的南北向流量。 出站规则:管控内到外的南北向流量。本文档将以“入站规则”为例,进行相关操作说明,“出站规则”操作同理。
操作指南
1. 登录 云防火墙控制台,在左侧导航栏中,选择访问控制 > 互联网边界规则。
2. 在互联网边界规则页面,单击入站规则,进入入站规则页面。
3. 在入站规则页面,可查看最近操作记录。最近操作记录展示了用户最近对规则列表进行的操作:
单击详情,可查看该条操作记录详情。
单击查看操作日志,可查看详细操作记录。
说明:
因投递日志需1分钟左右的时间,所以最近操作记录更新会有稍许延迟。
4. 添加规则,在入站规则页面,可进行规则的配置。
4.1 在入站规则页面,单击添加规则,将弹出“添加入站规则”的弹窗。
4.2 在“添加入站规则”的弹窗中,可进行规则的配置。访问源类型可选 IP 地址、地理位置、云厂商和 地址模板,访问目的类型可选 IP 地址、资产实例、资源标签、地址模板和资产分组,并根据规则重要性勾选执行顺序,完成源目的类型和顺序的选择后,填写访问源、访问目的、目的端口、协议、策略以及描述等信息,单击确定完成配置。
注意
入站规则:访问源填写0.0.0.0/0时,后台会自动关联全部公网 IP,填写 CIDR 地址同理,仅对该网段内的公网 IP 生效。
出站规则:与入站规则相同。
字段说明:
访问源的类型:
IP 地址:任意 IP 地址或 CIDR 格式地址例如10.10.10.10或10.10.10.10/24。
地理位置:为 IP 对应的实际地理位置,包含中国大陆地区各个省、中国港澳台地区及海外的各个州。
说明
云厂商:为各个云服务厂商品牌对应的服务 IP。
地址模板:为用户自定义设置的 IP 地址模板。
访问目的类型:
IP 地址:入站规则的访问目的仅对您的公网 IP 生效,若填写 CIDR 地址,则后台会自动关联为该地址段内包含的您的全部公网 IP。
资产实例:入站方向选择具体实例为访问目的。
资源标签:根据资源的标签来选择访问目的,标签内实例的公网 IP 会匹配互联网边界规则。
地址模板:选择用户自定义设置的 IP 地址模板为访问目的。
资产分组:选择用户自定义设置的资产分组为访问目的。
规则优先级:定义规则执行的优先级,最先执行或最后执行。
执行顺序:访问控制规则的执行顺序,出站规则和入站规则的执行顺序互不影响,执行顺序较高的规则被优先匹配,命中某条规则后,不再匹配后序规则。当您修改某条规则的执行顺序时,原本该位置的规则的执行顺序+1,以此类推。当您删除某条规则时,后序所有规则的执行顺序-1。
访问源:入站规则访问源可以设置任意的 IP/CIDR 格式地址,同时也支持地理位置、云厂商和地址模板等参数。
访问目的:入站规则的访问目的仅对公网 IP 生效,同时还支持资产实例、资源标签、地址模板和资产分组等参数。如果是出站规则,访问源和访问目的的参数对调。
目的端口:支持单端口号、基于'/'的端口段以及英文逗号分隔的离散端口值。例如“80”、“80/80”、“-1/-1”、“0/65535”或“80,443,3380/3389”
协议:串行防火墙支持的协议:TCP、UDP、ICMP、HTTP、HTTPS、HTTP/HTTPS、SMTP、SMTPS、SMTP/SMTPS、TLS/SSL、DNS 以及 FTP;旁路防火墙支持的协议:TCP、HTTP/HTTPS(仅出向支持)、TLS/SSL(仅出向支持)。
策略:
放行:放通命中规则的流量,记录命中次数但不记录访问控制日志,且记录流量日志。
观察:放通命中规则的流量,记录命中次数并记录访问控制日志与流量日志。
阻断:拦截命中规则的流量,记录命中次数并记录访问控制日志,流量日志记录流量的一个请求数据包信息。
生效范围:当前规则生效的防火墙范围,可选“全局规则”、“串行防火墙”或“旁路防火墙”。
描述:用于描述规则,最多支持50个字符。
互联网边界通配规则:
输入字段 | 输入示例 | 说明 |
访问源/访问目的 | 0.0.0.0/0 | 表示全部 IP。 |
域名(仅出站规则中) | * | 表示全部域名。 |
域名(仅出站规则中) | *.aa.com | 表示以*开头的二级域名:aa.com。 |
目的端口 | -1/-1 | 表示全部端口。 |
目的端口 | 0/65535 | 表示全部端口。 |
目的端口 | 80,443,3389 | 表示对80、443、3389三个端口生效。 |
目的端口 | 80/443 | 表示对80到443之间的全部端口生效。 |
目的端口 | 80/443,3389 | 表示对80到443之间全部端口与3389端口生效。 |
说明:
输入域名的操作如下:在 访问控制 > 互联网边界规则 > 出站规则页面,单击添加规则,选择访问目的,根据出站规则,输入所需域名,单击确定保存。
出站规则:访问目的支持任意 IP 地址、CIDR 地址和域名,支持 * 开头的通配符域名以及 * 表示的全部域名。
5. 在右侧操作栏单击复制, 添加多条规则。
说明
在“添加入站规则”的弹窗中,一行代表一条规则,每次添加规则默认插入到列表的最后位置,即执行顺序最大,优先级最低的位置。
场景1:已在本地完成规则列表的编辑,需要批量添加规则提升效率。
5.1.1 在右侧操作栏单击复制,可在当前位置的下方新增一行规则,单次最多支持添加10条规则。
5.1.2 完善表单中所有字段。
5.1.3 提交前,检查批量添加规则的执行顺序是否符合预期。
5.1.4 单击确定,提交所配置的规则。
场景2:需要同时对某个 IP 配置多条规则。
5.1.1 首先编辑一行规则,只编辑需要重复填写的部分。
5.1.2 在右侧操作栏单击复制,可在当前位置的下方新增一行规则,并自动复制上一行已经填写的内容,单次最多支持添加10条规则。
5.1.3 完善表单中其他字段,补充不需要重复填写的部分。
5.1.4 提交前,检查批量添加规则的执行顺序是否符合预期。
5.1.5 单击确定,提交所配置的规则。
6. 规则添加完成后,即可在规则列表中查看相关规则。
7. 导入规则,单击导入规则,可以从本地选择文件导入,您可以指定导入位置、下载导入模板和导出现有规则。
8. 规则备份与回滚,请参见 规则备份 文档。
相关信息
如需在云防火墙控制台对 NAT 边界的入向与出向流量进行管控,请参见 NAT 边界规则。
如需在云防火墙控制台设置内网间规则,请参见 内网间规则。
如需了解云防火墙的访问控制功能的特殊应用场景,请参见 特殊应用场景。
如遇到互联网边界规则相关问题,请参见 互联网边界防火墙 文档。