仅放行云内资源对指定域名的访问流量

应用场景

为了防止敏感数据泄露或受到外部恶意攻击，需要限制云内资源仅能访问特定公网域名。

本文介绍如何通过CFW对云资源进行精细化管控，实现放行所有EIP对指定域名（本文以泛域名*.example.com为例）的80端口和443端口的访问流量。

操作步骤

1. 购买云防火墙标准版或专业版，请参见购买云防火墙。
2. 在左侧导航栏中，单击左上方的，选择“安全与合规 > 云防火墙”，进入云防火墙的概览页面。
3. （可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
4. 对需要防护的EIP开启防护。
   1. 在左侧导航栏中，选择“资产管理 > 弹性公网IP管理”，进入“弹性公网IP管理”页面，弹性公网IP信息将自动更新至列表中。
   2. 在EIP所在行的“操作”列中，单击“开启防护”。

5. 配置防护规则。
   1. 在左侧导航栏中，选择“访问控制 > 访问策略管理”，进入“访问策略管理”页面。
   2. 单击“添加”，在弹出的“添加防护规则”中，填写防护信息，其余参数可根据业务部署填写。
      共配置两条防护规则：

      • 一条拦截所有流量，如图 拦截所有流量所示，优先级置于最低。
        • 方向：内-外
        • 源：Any
        • 目的：Any
        • 服务：Any
        • 动作：阻断
        图1 拦截所有流量
        
      • 一条放行EIP对*.example.com的80端口和443端口访问流量，如图 放行域名的访问流量所示，优先级设置最高。
        • 方向：内-外
        • 源：Any
        • 目的：选择“域名/域名组”、“应用型”、“泛域名”，填写*.example.com。
        • 服务：TCP/1-65535/80、TCP/1-65535/443
        • 动作：放行
        图2 放行域名的访问流量
        

6. 通过访问控制日志查看命中详情。

   在左侧导航栏中，选择“日志审计 > 日志查询”。默认进入“攻击事件日志”页面，选择“访问控制日志”页签。

   

   日志中“目的IP”列是任意example.com的域名时，对应的“响应动作”是“放行”，其他流量对应的“响应动作”是“阻断”。

相关文档

• 域名组的配置示例请参见放行业务访问某平台的流量
• 需要增加其他防护规则时，请参见防护规则的详细参数说明添加防护规则。
• 放行云内资源通过NAT网关对指定域名的访问流量请参见通过配置CFW防护规则实现SNAT流量防护。