拦截海外地区的访问流量

应用场景

海外IP地址往往是黑客和恶意攻击者的来源，如果您希望限制所有海外地区的IP地址访问云资源，您可以通过配置互联网边界防护规则，设置目的类型为地域的方式实现防护。

本文介绍如何通过CFW对云资源进行精细化管控，实现拦截海外地区的访问流量。

防护原理

CFW通过IP地址的归属地信息识别区域来源，配置海外地区的拦截规则后，所有访问源的IP地址都将与内置的IP地址库进行比对，识别一致后，CFW将进行拦截操作。

通过CFW拦截海外地区的访问流量

1. 购买云防火墙标准版或专业版，请参见购买云防火墙。
2. 在左侧导航栏中，单击左上方的，选择“安全与合规 > 云防火墙”，进入云防火墙的总览页面。
3. （可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
4. 对需要防护的EIP开启防护。
   1. 在左侧导航栏中，选择“资产管理 > 弹性公网IP管理”，进入“弹性公网IP管理”页面，弹性公网IP（包括IPv4和IPv6）信息将自动更新至列表中。
   2. 在EIP所在行的“操作”列中，单击“开启防护”。

5. 配置防护规则。
   1. 在左侧导航栏中，选择“访问控制 > 互联网边界防护规则”，进入互联网边界防护规则页面。
   2. 在“防护规则 > EIP规则”页签中，单击“添加”，在弹出的“添加防护规则”中，填写防护信息，其余参数可根据业务部署填写。

      表1 拦截某一地区的访问流量

      参数	示例	说明
      方向	外-内	防护的流量的方向。
      源	选择“地域”，在下拉框中“全选”，并取消勾选“中国”	网络流量的发起方。
      目的	Any 说明： 本文以拦截所有来自海外地区的访问流量为例，所以“目的”选择“Any”；如果仅需要防护单个EIP，则此处需要选择“IP地址”，并选择对应的EIP。	网络流量的接收方。
      服务	Any	网络流量的协议、源端口、目的端口。
      应用	Any	针对应用层协议的防护策略。
      动作	阻断	流量经过防火墙时的处理动作。

      图1 拦截海外地区的访问流量
      

6. 通过访问控制日志查看命中详情。

   在左侧导航栏中，选择“日志审计 > 日志查询”。默认进入“攻击事件日志”页面，选择“访问控制日志”页签。

   

   日志中“目的IP”列是海外IP时对应的“响应动作”是“阻断”。

后续操作

业务运行一段时间后，您可以在访问规则列表中，目标防护规则的“命中次数”列，查看防护规则的命中情况。

相关文档

当需要增加其他防护规则时，请参见添加防护规则进行添加。