文档首页/ 云防火墙 CFW/ 最佳实践/ 仅放行云内资源对指定域名的访问流量
更新时间:2024-12-02 GMT+08:00

仅放行云内资源对指定域名的访问流量

应用场景

为了防止敏感数据泄露或受到外部恶意攻击,需要限制云内资源仅能访问特定公网域名。

本文介绍如何通过CFW对云资源进行精细化管控,实现放行所有EIP对指定域名(本文以泛域名*.example.com为例)的80端口和443端口的访问流量。

通过CFW放行云内资源对指定域名的访问流量

  1. 购买云防火墙标准版或专业版,请参见购买云防火墙
  2. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  3. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  4. 对需要防护的EIP开启防护。

    1. 在左侧导航栏中,选择资产管理 > 弹性公网IP管理,进入“弹性公网IP管理”页面,弹性公网IP信息将自动更新至列表中。
    2. 在EIP所在行的操作列中,单击“开启防护”。

  5. 配置防护规则。

    1. 在左侧导航栏中,选择访问控制 > 访问策略管理,进入“访问策略管理”页面。
    2. 单击“添加”,在弹出的“添加防护规则”中,填写防护信息,其余参数可根据业务部署填写。
      共配置两条防护规则:
      • 一条拦截所有流量,如图 拦截所有流量所示,优先级置于最低。
        • 方向:内-外
        • 源:Any
        • 目的:Any
        • 服务:Any
        • 应用:Any
        • 动作:阻断
        图1 拦截所有流量
      • 一条放行EIP对*.example.com的80端口和443端口访问流量,如图 放行域名的访问流量所示,优先级设置最高。
        • 方向:内-外
        • 源:Any
        • 目的:选择“域名/域名组”“应用型”“域名”,填写*.example.com。
        • 服务:TCP/1-65535/80、TCP/1-65535/443
        • 应用:HTTP、HTTPS
        • 动作:放行
        图2 放行域名的访问流量

  6. 通过访问控制日志查看命中详情。

    在左侧导航栏中,选择日志审计 > 日志查询。默认进入“攻击事件日志”页面,选择“访问控制日志”页签。

    日志中“目的IP”列是任意example.com的域名时,对应的“响应动作”“放行”,其他流量对应的“响应动作”“阻断”

相关文档