步骤四:配置访问控制策略云防火墙支持对内网访问外网的流量、外网访问内网的流量和内网之间互访的流量进行精准的访问控制,降低资产被入侵的风险。
如果您未配置任何策略,云防火墙默认放行所有流量。关于如何配置云防火墙的访问控制策略,请参见:
配置互联网边界访问控制策略
配置NAT边界访问控制策略
配置VPC边界访问控制策略
配置主机边界访问控制策略
访问控制策略最佳实践重要 除了开放必要的主动外联访问以外,建议您将其他出方向流量全部设置为拒绝。
出方向策略的源地址为私网地址时,请确认已创建NAT防火墙,否则出方向策略不会生效。相关信息,请参见NAT边界防火墙。
边界
方向
最佳实践
相关文档
互联网边界
出向
内网到外网的互联网边界访问控制策略管控云上资产访问互联网出方向的流量,一般建议先配置放行访问互联网的策略,然后再配置拒绝所有云上资产访问互联网服务的策略,可实现放行部分云资产需要访问互联网的流量,拒绝全部云上资产流量出内网的访问控制,将外联风险做到有放有控。
配置互联网边界防火墙策略前,请您确认互联网边界防火墙开关已开启,否则策略将不生效。
您需要先创建一条出方向的访问控制策略,先对可信的内部源IP放行,将优先级设置为最前。然后创建第二条出方向的访问控制策略,拒绝其它所有访问源去访问外部互联网,将优先级设置为最后。若访问源、目的源、端口有多个,可使用地址簿或创建多条访问控制策略。
配置外到内流量只允许访问某个端口的访问控制策略
入向
外网到内网的互联网边界访问控制策略管控用户访问云上服务入方向的流量,一般建议先配置放行访问云上服务的策略,然后再配置拒绝所有来源、协议、端口和应用的策略。可实现对可信流量放行,对其他可疑流量或恶意流量进行拒绝的访问控制,将外网风险管理做到有放有控。
配置互联网边界防火墙策略前,请您确认互联网边界防火墙开关已开启,否则策略将不生效。
您需要先创建一条入方向的访问控制策略,先对可信的外部源IP放行,将优先级设置为最前。然后创建第二条入方向的访问控制策略,拒绝其它所有访问源去访问内部网络,将优先级设置为最后。若访问源、目的源、端口有多个,可使用地址簿或创建多条访问控制策略。
配置外到内流量只允许访问某个端口的访问控制策略
拒绝海外区域访问主机的策略配置教程
MongoDB数据库未授权访问漏洞防御最佳实践
NAT边界
出向
开启NAT边界防火墙后,NAT边界防火墙会检测所有经过VPC内私网资源(包括同一VPC内的资源和跨VPC的资源)流向该NAT网关的出方向流量。
NAT边界防火墙会根据您配置的访问控制策略、云防火墙内置的威胁情报库等策略,匹配流量的访问源、目的地址、端口、协议、应用、域名等元素,判断当前流量是否满足放行标准,从而限制私网资源到互联网的未授权访问。
只允许私网主机访问指定域名的策略配置教程
VPC边界
互访
内网到内网的VPC边界访问控制策略管控两个VPC间的通信流量,一般建议先配置放行可信IP访问VPC的策略,然后再配置拒绝其他地址访问VPC的策略。
VPC边界防火墙可用于检测和控制两个VPC间的通信流量,VPC边界防火墙开启后默认放行所有流量。
您需要先创建一条VPC边界防火墙放行策略,先放行可信流量,将优先级设置为最前。然后创建第二条VPC边界防火墙拒绝策略,拒绝其它所有访问源去访问内部网络,将优先级设置为最后。
VPC边界防火墙策略配置示例
主机边界
出入
主机边界防火墙可以对ECS实例间的入流量和出流量进行访问控制,实现更细粒度的ECS实例间的未授权访问。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。
一般建议先配置放行访问云上服务的策略,然后再配置拒绝所有来源、协议、端口和应用的策略。
策略组分为普通策略组和企业策略组,如果您的ECS数量较少,您可以使用普通策略组,即当前的ECS安全组。如果ECS实例较多,建议使用企业策略组,相比原有的普通策略组,企业策略组大幅提升了组内可容纳的实例数量,不再限制组内私网IP数量,规则配置方式更加简洁便于维护,适用于对整体规模和运维效率有较高需求的企业级用户。
主机边界防火墙(ECS实例间)策略配置示例
查看访问控制策略命中情况访问控制策略配置完成后,默认情况下策略立即生效。您可以进入云防火墙控制台的访问控制 > 互联网边界页面,在访问控制策略列表的命中次数/最近命中时间列,查看访问控制策略的命中情况。更多信息,请参见配置互联网边界访问控制策略。
命中次数/最近命中时间列有显示命中次数及时间,表示已有访问流量命中该策略。您可以单击命中次数,跳转到流量日志页面查看详细数据。具体操作,请参见日志审计。