仅放行互联网对指定端口的访问流量
应用场景
为了提升安全性,需要仅放行部分端口(例如80端口、443端口)的流量访问云内资源。
本文介绍如何通过CFW对云资源进行精细化管控,允许所有公网地址访问EIP(xx.xx.xx.1)的80端口。
通过CFW放行互联网对指定端口的访问流量
- 购买云防火墙标准版或专业版,请参见购买云防火墙。
- 在左侧导航栏中,单击左上方的
,选择 ,进入云防火墙的总览页面。
- (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 对需要防护的EIP(xx.xx.xx.1)开启防护。
- 在左侧导航栏中,选择“弹性公网IP管理”页面,弹性公网IP(包括IPv4和IPv6)信息将自动更新至列表中。 ,进入
- 在EIP(xx.xx.xx.1)所在行的 列中,单击“开启防护”。
- 配置防护规则。
- 在左侧导航栏中,选择 ,进入互联网边界防护规则页面。
- 在“防护规则 > EIP规则”页签中,单击“添加”,在弹出的“添加防护规则”中,填写防护信息,其余参数可根据业务部署填写。
共配置两条防护规则:
- 一条拦截所有流量,优先级置于最低。
- 方向:外-内
- 源:Any
- 目的:Any
- 服务:Any
- 应用:Any
- 动作:阻断
图1 拦截所有流量 - 一条放行EIP(xx.xx.xx.1) 80端口的流量,优先级设置最高。
图2 放行xx.xx.xx.1 80端口的访问流量
表1 放行xx.xx.xx.1 80端口的访问流量 参数
示例
说明
方向
外-内
防护的流量的方向。
源
Any
网络流量的发起方。
目的
选择“IP地址”,填写xx.xx.xx.1
网络流量的接收方。
服务
TCP/1-65535/80
网络流量的协议、源端口、目的端口。
应用
Any
针对应用层协议的防护策略。
动作
放行
流量经过防火墙时的处理动作。
- 一条拦截所有流量,优先级置于最低。
- 通过访问控制日志查看命中详情。
在左侧导航栏中,选择“攻击事件日志”页面,选择“访问控制日志”页签。
。默认进入日志中“目的IP”列是xx.xx.xx.1时对应的“响应动作”是“阻断”。
相关文档
需要增加其他防护规则时,请参见防护规则的详细参数说明添加防护规则。