访问控制规则支持域名过滤,以及地理位置要求的流量过滤。NAT 边界规则提供两张访问控制规则列表,分别是入向规则与出向规则:
入向规则:在NAT 边界内,管控由外到内的南北向流量。
出向规则:在NAT 边界内,管控由内到外的南北向流量。
本文档将以“入向规则”为例,进行相关操作说明,“出向规则”操作同理。
说明:
对 NAT 边界规则的操作,会在规则保存后的1-3分钟内生效。
查看操作记录
1. 登录 云防火墙控制台,在左侧导航栏中,选择访问控制。
2. 在访问控制界面,单击 NAT 边界规则,切换到 NAT 边界规则界面。
3. 在NAT 边界规则页面中,可查看最近操作记录。最近操作记录展示了用户最近对规则列表进行的操作:
单击详情,可查看该条操作记录详情。
单击查看操作日志,可查看详细操作记录。
说明:
因投递日志需1分钟左右的时间,所以最近操作记录更新会有稍许延迟。
添加规则
1. 在 NAT 边界规则 页面,单击入向规则,进入入向规则页面。
2. 在入向规则页面,单击添加规则,配置相关参数。
高级设置:
端口协议类型:
手动填写:手动进行目的端口的填写和协议的选择。
端口协议模板:在已有端口模板协议内容中选择所需的地址模板。自定义端口协议模板可参考地址模板 > 新增模板。
规则优先级:
最先:将优先级设置为1。
最后:将优先级设置为最大数。
自定义:自定义规则优先级。仅支持编辑首条规则的优先级,其后的规则会依次递增。
优先级:仅当高级设置 > 规则优先级设置为自定义时可编辑;优先级从数字1开始编号,数字越小表示优先级越高。当用户自定义规则优先级时,其他规则的优先级将自动按顺序顺延调整。
生效范围:当前规则生效地域范围。
访问源类型:
IP 地址:任意 IP 地址或 CIDR 格式地址例如10.10.10.10或10.10.10.10/24。支持多个对象使用逗号分隔。
注意
入向规则:访问源填写0.0.0.0/0时,后台会自动关联全部公网 IP,填写 CIDR 地址同理,仅对该网段内的公网 IP 生效。
出向规则:与入向规则相同。
地理位置:为 IP 对应的实际地理位置,包含中国大陆地区各个省、中国港澳台地区及海外的各个洲。
说明
云厂商:为各个云服务厂商品牌对应的服务 IP。
地址模板:为用户自定义设置的地址模板。
访问目的类型:
IP 地址:入向规则的访问目的仅对您的公网 IP 生效,若填写 CIDR 地址,则后台会自动关联为该地址段内包含的您的全部公网 IP。支持多个对象使用逗号分隔。
域名:域名匹配支持标准域名格式及通配符形式,具体匹配模式如下:
FQDN 匹配:基于应用层报文中的 Host 头部字段或 SNI 扩展字段进行标识匹配。
宽松匹配:满足 FQDN 匹配规则,或访问的客户端 IP 属于该域名当前 DNS 解析结果中的任一 IP 地址。满足任一条件即可命中。
严格匹配:满足 FQDN 匹配规则,和访问的客户端 IP 属于该域名当前 DNS 解析结果中的任一 IP 地址。同时满足两个条件即可命中。
资产实例:入向方向选择具体实例为访问目的。
资源标签:根据资源的标签来选择访问目的,标签内实例的公网 IP 会匹配 NAT 边界规则。
地址模板:选择用户自定义设置的地址模板为访问目的。
资产分组:选择用户自定义设置的资产分组为访问目的。
目的端口:支持单端口号、基于'/'的端口段以及英文逗号分隔的离散端口值。例如“80”、“80/80”、“-1/-1”或“80,443,3380/3389”
协议:各边界场景(规则-类型)与访问目的类型的协议支持关系如下表所示:
方向 | 访问目的类型 | 支持的协议 |
入向 | IP 地址、资产实例、资源标签、地址模板 > IP 地址模板、资产分组 | ANY、TCP、UDP |
| 域名、地址模板 > 域名地址模板 | 不支持 |
出向 | IP 地址 | ANY、TCP、UDP、ICMP、FTP(仅支持精确 IP) |
| 地理位置、云厂商、地址模板 > IP 地址模板 | ANY、TCP、UDP、ICMP |
| 域名 > FQDN 匹配、地址模板 > 域名地址模板 | ANY、HTTP/HTTPS、HTTP、HTTPS、SMTP/SMTPS、SMTP、SMTPS、DNS(仅支持域名) |
| 域名 > 宽松匹配、域名 > 严格匹配 | TCP、UDP |
策略:
放行:放通命中规则的流量,记录命中次数但不记录访问控制日志,且记录流量日志。
观察:放通命中规则的流量,记录命中次数并记录访问控制日志与流量日志。
阻断:拦截命中规则的流量,记录命中次数并记录访问控制日志,流量日志记录流量的一个请求数据包信息。
描述:用于描述规则,最多支持50个字符。
NAT 边界通配规则:
输入字段 | 输入示例 | 说明 |
访问源/访问目的 | 0.0.0.0/0 | 表示全部 IP。 |
域名(仅出向规则中) | * | 表示全部域名。 |
域名(仅出向规则中) | *.aa.com | 表示以*开头的二级域名:aa.com。 |
目的端口 | -1/-1 | 表示全部端口。 |
目的端口 | 80,443,3389 | 表示对80、443、3389三个端口生效。 |
目的端口 | 80/443 | 表示对80到443之间的全部端口生效。 |
目的端口 | 80/443,3389 | 表示对80到443之间全部端口与3389端口生效。 |
说明:
输入域名的操作如下:在 访问控制 > NAT 边界规则 > 出向规则页面,单击添加规则,选择访问目的,根据出向规则,输入所需域名,单击确定保存。
出向规则:访问目的支持任意 IP 地址、CIDR 地址和域名,支持 * 开头的通配符域名以及 * 表示的全部域名。
3. 确认无误后,单击确定完成配置。
其他操作
开关操作:单击启用状态列的开关,可切换对应规则的启用状态。新添加的规则完成配置后会自动开启。
基本操作:规则添加完成后,您可通过单击操作列中的编辑、插入或删除,对相应规则进行编辑、插入或删除操作。
复制操作:当您添加或插入规则时,若已编辑完成前方规则,而后方待配置规则与前者相似,可通过使用复制功能快速生成新规则,随后根据实际需求调整细节即可。
说明
在“添加入向规则”的弹窗中,一行代表一条规则,每次添加规则默认插入到列表的最后位置,即执行顺序最大,优先级最低的位置。
单次最多支持添加10条规则。
单击操作栏的 
单击下方的 
导入规则:单击导入规则,可以从本地选择文件导入,您可以下载导入模板、导出现有规则、指定导入位置、指定规则备份方式和导入后启用方式。
快速排序:规则默认按优先级数值排序(优先级数值越低,规则在列表中的位置越靠前,优先级越高)。
a. 单击快速排序,将鼠标悬停至需调整的规则行任意空白处。
b. 当光标变为可拖动状态时,按住鼠标左键上下拖动至目标位置。
c. 调整完成后,单击保存即可生效。
说明:
列表上方规则的优先级高于下方规则。拖动排序后无需手动设置数值,保存即可自动更新优先级。
更多操作:单击更多操作,您可通过单击更多操作中的全部删除、全部停用、全部启用,对所有规则进行删除、停用、启用操作。
导出规则:单击规则列表上方的
备份与回滚规则:请参见 规则备份 文档。
相关信息
如需在云防火墙控制台对互联网边界的入向与出向流量进行管控,请参见 互联网边界规则。
如需在云防火墙控制台设置VPC边界规则,请参见 VPC边界规则。
如需了解云防火墙的访问控制功能的特殊应用场景,请参见 特殊应用场景。
如遇到NAT 边界规则相关问题,请参见 NAT 边界防火墙 文档。
