更新时间:2025-12-01 GMT+08:00
访问控制策略概述
开启云防火墙防护时,系统默认放行所有流量。如果未配置访问控制策略,内部服务器与外网之间的通信将完全开放,无法有效管控未授权访问或内部威胁扩散。为此云防火墙提供访问控制策略功能,可以通过自定义拦截或放行规则,对特定流量进行安全隔离,实现多方位防护。
访问控制策略类型
访问控制策略包括“防护规则”、“黑名单”、“白名单”功能,区别如表1所示,流量命中某一条策略时,执行该策略的动作。
规格限制
VPC边界防护和NAT流量防护,需满足专业版防火墙且开启VPC边界防火墙防护。
配置阻断策略时注意事项
配置阻断IP的防护规则或黑名单时需注意以下几点:
- 建议优先配置精准的IP(如192.168.10.5),减少网段配置,避免误拦截。
- 对于反向代理IP(如Web应用防火墙(WAF)的回源IP),请谨慎配置阻断策略,建议配置放行的防护规则或白名单。
- 对于正向代理IP(如公司出口IP),影响范围较大,请谨慎配置阻断策略。
- 配置“地域”防护时,需考虑公网IP可能更换地址的情况。
防护规则中的防护元素
防护规则支持识别并匹配不同流量元素,实现对相关流量的放行或阻断。
|
匹配项 |
说明 |
配置类型 |
不同规则支持的配置类型 |
|---|---|---|---|
|
源 |
网络连接发起方 |
|
|
|
目的 |
网络连接接收方 |
|
|
|
服务 |
流量的协议类型或端口号 |
服务和服务组:表示指定一个服务或者多个服务的集合,通过指定协议类型、源端口、目的端口等信息来标识服务。 |
ICMP协议不支持配置端口。 |
|
服务:设置协议类型、源端口和目的端口。
|
|||
|
服务组:多个服务的集合。 |
|||
|
ANY:不确定具体协议类型时可选择ANY。 |
|||
|
应用 |
应用层协议 |
支持HTTP、HTTPS、SMTP、SMTPS、SSL、POP3等多种协议。 不确定具体应用类型时可选择ANY。 |
取决于选择的协议类型。 |
配置示例:
|
参数名称 |
输入示例 |
说明 |
|---|---|---|
|
源/目的 |
0.0.0.0/0 |
所有IP。 |
|
域名 |
www.example.com |
对www.example.com域名生效。 |
|
*.example.com |
所有以example.com为后缀的域名,例如:test.example.com。 |
|
|
服务-源端口/目的端口 |
1-65535 |
所有端口生效。 |
|
80-443 |
对80到443之间的所有端口生效。 |
|
|
对80和443端口生效。 |
相关文档
- 添加单个防护规则实现流量防护,请参见通过防护规则拦截/放行流量,添加单个黑/白名单实现流量防护请参见通过黑白名单拦截/放行流量。
- 批量添加防护策略,请参见导入/导出防护策略。
- 添加策略之后的后续操作:
- 策略的命中情况,整体防护概况请参见通过策略助手查看防护信息,详细日志请参见访问控制日志。
- 流量趋势和统计结果,整体防护概况请参见流量分析,详细流量记录请参见流量日志。
- 如果您的业务可能被防护策略误拦截,排查方式请参见配置CFW防护策略后,业务无法访问怎么办?。
父主题: 访问控制
