仅放行互联网对指定端口的访问流量

应用场景

为了提升安全性，需要仅放行部分端口（例如80端口、443端口）的流量访问云内资源。

本文介绍如何通过CFW对云资源进行精细化管控，允许所有公网地址访问EIP（xx.xx.xx.1）的80端口。

通过CFW放行互联网对指定端口的访问流量

1. 购买云防火墙标准版或专业版，请参见购买云防火墙。
2. 在左侧导航栏中，单击左上方的，选择“安全与合规 > 云防火墙”，进入云防火墙的总览页面。
3. （可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
4. 对需要防护的EIP（xx.xx.xx.1）开启防护。
   1. 在左侧导航栏中，选择“资产管理 > 弹性公网IP管理”，进入“弹性公网IP管理”页面，弹性公网IP（包括IPv4和IPv6）信息将自动更新至列表中。
   2. 在EIP（xx.xx.xx.1）所在行的“操作”列中，单击“开启防护”。

5. 配置防护规则。
   1. 在左侧导航栏中，选择“访问控制 > 互联网边界防护规则”，进入互联网边界防护规则页面。
   2. 在“防护规则 > EIP规则”页签中，单击“添加”，在弹出的“添加防护规则”中，填写防护信息，其余参数可根据业务部署填写。
      共配置两条防护规则：

      • 一条拦截所有流量，如图 拦截所有流量所示，优先级置于最低。
        • 方向：外-内
        • 源：Any
        • 目的：Any
        • 服务：Any
        • 应用：Any
        • 动作：阻断
        图1 拦截所有流量
        
      • 一条放行EIP（xx.xx.xx.1） 80端口的流量，如图 放行域名的访问流量所示，优先级设置最高。
        • 方向：外-内
        • 源：Any
        • 目的：选择“IP地址”，填写xx.xx.xx.1。
        • 服务：TCP/1-65535/80
        • 应用：Any
        • 动作：放行
        图2 放行xx.xx.xx.1 80端口的访问流量
        

6. 通过访问控制日志查看命中详情。

   在左侧导航栏中，选择“日志审计 > 日志查询”。默认进入“攻击事件日志”页面，选择“访问控制日志”页签。

   

   日志中“目的IP”列是xx.xx.xx.1时对应的“响应动作”是“阻断”。

相关文档

需要增加其他防护规则时，请参见防护规则的详细参数说明添加防护规则。