本教程指导您如何通过防火墙管理的策略管理功能,批量封禁指定的高危端口(如TCP 20, 3389),并为内网特定 IP 地址创建例外放行规则。
前提条件
步骤一:创建高危端口封禁规则组
1. 登录 防火墙管理控制台,在左侧导航中,选择策略管理 > 规则组管理。
2. 单击云防火墙-企业安全组,切换到云防火墙-企业安全组界面。
3. 单击新建规则组,在添加规则组窗口中,配置相关参数。
4. 单击确定。规则组将出现在列表中,此时规则尚未下发,不会生效。
步骤二:创建内网白名单 IP 地址
为使内网特定 IP 地址能正常访问高危端口,需先在私有网络(VPC)中创建一个 IP 地址参数模板作为白名单。
1. 访问 私有网络控制台,在左侧导航中,选择安全 > 参数模板。
2. 在参数模板 > IP 地址页面,单击新建。
3. 参考 创建 IP 地址参数模板,配置相关参数。单击确定。
4. 在 IP 地址页签中,可以看到刚刚创建的加白 IP 地址参数模板。
步骤三:在规则组中添加内网放行规则
返回云防火墙控制台,在已创建的规则组中添加一条优先级更高的允许规则。
1. 返回 防火墙管理控制台,在左侧导航中,选择策略管理 > 规则组管理。
2. 单击云防火墙-企业安全组,切换到云防火墙-企业安全组界面。
3. 在规则组列表中找到您在 步骤一:创建高危端口封禁规则组 中创建的规则组,单击其操作栏的编辑。
4. 在编辑页面,单击新建规则,配置相关参数。
参数名称 | 说明 |
组内优先级 | |
IP 类型 | 选择 IPv4。 |
访问源 | |
访问目的 | |
目的端口 | 选择手动填写并输入20,3389 |
协议 | 选择 TCP。 |
生效范围 | 选择安全组。 |
策略 | 选择允许。 |
描述 | 高危端口白名单访问规则。 |
5. 单击确定。规则组将出现在列表中,此时规则尚未下发,不会生效。
步骤四:预览并下发规则
规则配置完成后,必须下发才能生效。下发前建议预览变动。
1. 登录防火墙管理控制台,在左侧导航中,选择策略管理 > 规则下发管理。
2. 单击云防火墙-企业安全组,切换到云防火墙-企业安全组界面。
3. 在云防火墙-企业安全组页面,单击预览变动。
4. 在预览变动页面,可查看企业安全组变动。
页面左侧为资产实例,包括云服务器、弹性网卡、云数据库、负载均衡以及轻量应用服务器防火墙。
页面右侧为实例所绑定的安全组和规则(按照优先级排序),分为入站规则和出站规则,其中若变动为新增,则背景色为绿色。若变动为删除,则背景色为红色。
5. 预览无误后,单击立即下发。
注意:
下发会将所有安全产品中所有的未下发、待下发以及下发失败规则进行下发。
步骤五:查看操作日志
您可以在日志中追溯所有配置操作,便于审计和排障。
1. 登录防火墙管理控制台,在左侧导航中,选择日志管理 > 策略管理。
2. 在策略管理页面,系统记录所有与规则组和下发相关的操作,如“创建规则组”、“添加规则”、“立即下发”等。您可以查看操作时间、账号、具体行为及关联的规则组。
3. 单击详情可查看操作日志的详细信息。
