概述
边界规则是云防火墙提供的访问控制能力,支持对不同网络边界的流量进行检测和访问控制。在未配置任何访问控制规则的情况下,云防火墙默认放行所有流量。通过创建访问控制规则,可以对经过防火墙的流量进行精细化管控,实现流量的放行、观察或阻断,从而保护云上业务免受未授权访问和恶意攻击。
云防火墙提供三种边界规则,分别适用于不同的网络边界场景:
互联网边界规则:管控云上公网 IP 的入站和出站流量(南北向),防御来自互联网的攻击和恶意访问,同时限制云上资产的非法外联行为。
NAT 边界规则:管控经过 NAT 网关的入站和出站流量(南北向),对 VPC 通过 NAT 网关访问互联网的流量进行防护。
VPC 边界规则:管控不同 VPC 之间的互通流量(东西向),对 VPC 间的横向流量进行访问控制。
本文介绍如何在云防火墙控制台配置互联网边界规则、NAT 边界规则和 VPC 边界规则。当需要对云上不同网络边界的流量进行精细化访问控制时,可参考本文进行规则配置。
说明:
对边界规则的操作,会在规则保存后的 1-3 分钟内生效。
存量数据兼容说明
对于历史创建的访问源或访问目的类型为地址模板的规则,控制台将自动映射展示为对应的 IP 地址或域名类型:
存量规则类型 | 控制台展示 | 编辑行为 |
地址模板(IP 地址模板) | 映射为 IP 地址类型,展示模板名称 | 可正常编辑,可切换为手动输入 |
地址模板(域名模板) | 映射为 FQDN 匹配类型,展示模板名称 | 可正常编辑,可修改匹配模式为宽松匹配或严格匹配(校验逻辑与新建规则一致) |
说明:
存量规则的映射仅影响控制台展示,不影响规则的实际生效逻辑。编辑存量规则时,校验逻辑与新建规则一致,例如切换到严格匹配模式时,若域名模板中包含泛域名将报错提示。
查看操作记录
1. 登录 云防火墙控制台,在左侧导航栏中,选择访问控制。
2. 在访问控制界面,根据需要单击对应的边界规则页签。
3. 在对应的边界规则页面,可查看最近操作记录。最近操作记录展示了用户最近对规则列表进行的操作:
单击详情,可查看该条操作记录详情。
单击查看操作日志,可查看详细操作记录。
说明:
因投递日志需1分钟左右的时间,所以最近操作记录更新会有稍许延迟。
添加规则
1. 登录 云防火墙控制台,在左侧导航栏中,选择访问控制。
2. 在访问控制界面,根据需要单击对应的边界规则页签。
3. 在对应边界规则页面,单击需要添加规则的规则类型:
互联网边界规则、NAT 边界规则提供两张访问控制规则列表,分别是入向规则(管控外到内的南北向流量)与出向规则(管控内到外的南北向流量)。
VPC 边界规则提供一个访问控制列表,分为 IPv4 类型和 IPv6 类型。
5. 完成单条规则配置后,可通过以下方式快捷添加其他规则:
单击操作栏的
单击下方的
6. 确认无误后,单击保存完成配置。
说明:
单次最多支持添加 10 条规则。
规则保存成功后,将出现在对应的规则列表中,状态默认为已启用。
新规则将在保存后的 1-3 分钟内生效。可以通过查看规则列表中的命中次数,确认规则是否已正常生效。
高级设置
端口协议类型:
手动填写:手动进行目的端口的填写和协议的选择。
端口协议模板:从已创建的端口协议模板中选择所需的模板。自定义端口协议模板可参考 地址模板 > 新增模板。
规则优先级:
最先:将优先级设置为 1。
最后:将优先级设置为最大数。
自定义:自定义规则优先级。批量添加规则时,仅需填写第一条规则的优先级,后续规则的优先级将从该值开始依次递增。
优先级
仅当高级设置 > 规则优先级设置为自定义时可编辑;优先级从数字 1 开始编号,数字越小表示优先级越高。当用户自定义规则优先级时,其他规则的优先级将自动按顺序顺延调整。
生效范围
互联网边界:当前规则生效的防火墙范围,如全局规则、旁路防火墙或串行防火墙。
NAT 边界:当前规则生效的地域或防火墙实例。
VPC 边界:当前规则生效的防火墙实例。
访问源类型
IP 地址(三种边界规则均支持):支持手动输入和地址模板两种方式。
手动输入:直接输入任意 IP 地址或 CIDR 格式地址,例如
10.10.10.10或10.10.10.10/24。支持多个对象使用逗号分隔。注意:
输入
0.0.0.0/0时,后台会自动关联全部公网 IP,输入 CIDR 地址时同理,仅对该网段内的公网 IP 生效。地址模板:从已创建的 IP 地址模板中选择。自定义地址模板可参考 地址模板 > 新增模板。
地理位置(互联网边界规则、NAT 边界规则支持):为 IP 对应的实际地理位置,包含中国大陆地区各个省、中国港澳台地区及海外的各个洲。
资产实例(三种边界规则均支持):选择具体实例为访问源。
资源标签(三种边界规则均支持):根据资源的标签来选择访问源,标签内实例的 IP 会匹配对应边界规则。
资产分组(三种边界规则均支持):选择用户自定义设置的资产分组为访问源。
访问目的类型
IP 地址(三种边界规则均支持):支持手动输入和地址模板两种方式。
手动输入:直接输入任意 IP 地址或 CIDR 格式地址,例如
10.10.10.10或10.10.10.10/24。支持多个对象使用逗号分隔。注意:
输入
0.0.0.0/0时,后台会自动关联全部公网 IP,输入 CIDR 地址时同理,仅对该网段内的公网 IP 生效。地址模板:从已创建的 IP 地址模板中选择。自定义地址模板可参考 地址模板 > 新增模板。
域名(三种边界规则均支持):支持手动输入和地址模板两种输入方式,并可选择以下三种匹配模式:
FQDN 匹配:基于应用层报文中的 Host 头部字段或 SNI 扩展字段进行标识匹配。
宽松匹配:满足 FQDN 匹配规则,或访问的目的 IP 属于该域名当前 DNS 解析结果中的任一 IP 地址。满足任一条件即可命中。
严格匹配:满足 FQDN 匹配规则,且访问的目的 IP 属于该域名当前 DNS 解析结果中的任一 IP 地址。需同时满足两个条件才可命中。
选择域名类型时,需依次选择输入方式和匹配模式:
手动输入 > FQDN 匹配或宽松匹配或严格匹配:直接输入域名。
注意:
输入
*时,后台会自动关联全部域名。输入泛域名(如
*.example.com)时,后台会自动关联以*开头的全部二级域名。地址模板 > FQDN 匹配或宽松匹配或严格匹配:从已创建的域名模板中选择。
注意:
VPC 边界规则中若填写本端 VPC 或对端 VPC 的 CIDR 以外的地址,则规则无法生效。
严格匹配模式不支持包含泛域名(如
*.example.com)的域名模板。若选择的域名模板中包含泛域名,提交时将报错提示。资产实例(三种边界规则均支持):选择具体实例为访问目的。
资源标签(三种边界规则均支持):根据资源的标签来选择访问目的,标签内实例的公网 IP 会匹配对应边界规则。
资产分组(三种边界规则均支持):选择用户自定义设置的资产分组为访问目的。
目的端口
支持单端口号、基于'/'的端口段以及英文逗号分隔的离散端口值。
目的端口实例 | 说明 |
-1/-1 | 表示全部端口。 |
80 | 表示 80 端口。 |
80,443,3389 | 表示对 80、443、3389 三个端口生效。 |
80/443 | 表示对 80 到 443 之间的全部端口生效。 |
80/443,3389 | 表示对 80 到 443 之间全部端口与 3389 端口生效。 |
说明:
互联网边界的旁路防火墙 HTTP/HTTPS 协议不支持配置连续端口。
协议
各边界场景访问目的类型与协议支持关系如下所示:
互联网边界规则
方向 | 生效范围 | 访问目的类型 | 支持的协议 |
入向 | 全局/旁路 | IP 地址(手动输入/地址模板)、资产实例、资源标签、资产分组 | TCP |
| | 域名(手动输入/地址模板) | 不支持 |
| 串行 | IP 地址(手动输入/地址模板) | ANY、TCP、UDP、ICMP、FTP(仅支持精确 IP) |
| | 域名 > FQDN 匹配(手动输入/地址模板) | ANY、HTTP/HTTPS、HTTP、HTTPS、SMTP/SMTPS、SMTP、SMTPS、DNS(仅支持域名) |
| | 域名 > 宽松匹配、域名 > 严格匹配 | 不支持 |
| | 资产实例、资源标签、资产分组 | ANY、TCP、UDP、ICMP、FTP(仅支持精确 IP) |
出向 | 全局/旁路 | IP 地址(手动输入/地址模板)、地理位置 | TCP |
| | 域名 > FQDN 匹配(手动输入/地址模板) | HTTP/HTTPS、TLS/SSL |
| | 域名 > 宽松匹配、域名 > 严格匹配 | 不支持 |
| 串行 | IP 地址(手动输入/地址模板) | ANY、TCP、UDP、ICMP、FTP(仅支持精确 IP) |
| | 域名 > FQDN 匹配(手动输入/地址模板) | ANY、HTTP/HTTPS、HTTP、HTTPS、SMTP/SMTPS、SMTP、SMTPS、DNS(仅支持域名) |
| | 域名 > 宽松匹配(手动输入/地址模板)、域名 > 严格匹配(手动输入/地址模板) | TCP、UDP |
| | 地理位置 | ANY、TCP、UDP、ICMP |
NAT 边界规则
方向 | 访问目的类型 | 支持的协议 |
入向 | IP 地址(手动输入/地址模板)、资产实例、资源标签 | ANY、TCP、UDP |
| 域名(手动输入/地址模板) | 不支持 |
出向 | IP 地址(手动输入/地址模板)、地理位置 | ANY、TCP、UDP、ICMP、FTP(仅支持精确 IP) |
| 域名 > FQDN 匹配(手动输入/地址模板) | ANY、HTTP/HTTPS、HTTP、HTTPS、SMTP/SMTPS、SMTP、SMTPS、DNS(仅支持域名) |
| 域名 > 宽松匹配(手动输入/地址模板)、域名 > 严格匹配(手动输入/地址模板) | TCP、UDP |
VPC 边界规则
访问目的类型 | 支持的协议 |
IP 地址(手动输入) | ANY、TCP、UDP、ICMP、FTP(仅支持精确 IP) |
IP 地址(地址模板)、资产实例、资源标签、资产分组 | ANY、TCP、UDP、ICMP |
域名 > FQDN 匹配(手动输入/地址模板) | ANY、HTTP/HTTPS、HTTP、HTTPS、SMTP/SMTPS、SMTP、SMTPS、DNS(仅支持域名) |
域名 > 宽松匹配(手动输入/地址模板)、域名 > 严格匹配(手动输入/地址模板) | TCP、UDP |
策略
放行:放通命中规则的流量,记录命中次数但不记录访问控制日志,且记录流量日志。
观察:放通命中规则的流量,记录命中次数并记录访问控制日志与流量日志。
阻断:拦截命中规则的流量,记录命中次数并记录访问控制日志,流量日志记录流量的一个请求数据包信息。
描述
用于描述规则,最多支持 50 个字符。
管理规则
1. 登录 云防火墙控制台,在左侧导航栏中,选择访问控制。
2. 在访问控制界面,根据需要单击对应的边界规则页签。
3. 在对应边界规则页面,单击需要管理规则的规则类型。
4. 在规则类型页面,可对已添加规则进行管理:
支持选择多种资源属性进行查询,操作列对应位置可编辑或删除规则,且支持批量操作。
快速排序:规则在列表中的自上而下顺序代表其优先级从高到低。如需调整,请按以下步骤操作:
a. 单击快速排序,将鼠标悬停至需调整的规则行任意空白处。
b. 当光标变为可拖动状态时,按住鼠标左键上下拖动至目标位置。
c. 调整完成后,单击保存即可生效。
导入规则:单击导入规则,可以从本地选择文件导入。导入文件中,访问源或访问目的类型支持填写:IP 地址、FQDN 匹配、宽松匹配、严格匹配、地理位置等具体类型。系统会根据访问源或访问目的字段值的格式自动识别输入方式:
以
ip- 开头的值(如 ip-abc12345):识别为 IP 地址模板 ID。以
dm- 开头的值(如 dm-abc12345):识别为域名模板 ID。其他格式:识别为手动输入的 IP 地址或域名。
说明:
若模板 ID 不存在,对应行将导入失败。严格匹配模式下使用的域名模板不能包含泛域名,否则对应行将导入失败。系统兼容旧版导入文件中的"地址模板"类型:IP 地址模板(
ip- 开头)自动映射为"IP 地址"类型,域名模板(dm- 开头)自动映射为"FQDN 匹配"类型。导出规则:单击规则列表上方的导出图标,弹出自定义列表导出窗口。选择忽略检索条件全量导出或基于检索条件导出并选择检索条件,单击导出,即可导出规则。
备份与回滚规则:请参见 规则备份 文档。
说明:
相关信息
如需了解云防火墙的访问控制功能的特殊应用场景,请参见 特殊应用场景。
如遇到互联网边界规则相关问题,请参见 互联网边界防火墙。
如遇到 NAT 边界规则相关问题,请参见 NAT 边界防火墙。
如遇到 VPC 边界规则相关问题,请参见 VPC 边界防火墙。
