添加防护规则
配置合适的访问控制策略能有效的帮助您对内部服务器与外网之间的流量进行精细化管控,防止内部威胁扩散,增加安全战略纵深。
EIP开启防护后,访问控制策略默认状态为放行,如您希望仅放行几条EIP,建议您添加一条优先级最低的阻断全部流量的防护规则。
前提条件
已进行同步资产操作并开启弹性公网IP防护,请参见开启弹性公网IP防护。
规格限制
VPC边界防护和NAT防护,需满足专业版防火墙且开启VPC边界防火墙防护。
约束条件
- 不支持GEIP的引流防护。
- 最多添加20000条防护规则。
- 单条防护规则最多关联5条服务组。
- 每条防护规则最多关联2条“IP地址组”。
- 单条防护规则最多添加20个源/目的IP地址。
- 防护域名时不支持添加中文域名格式。
- 仅入方向规则(“方向”配置为“外-内”)的“源”地址支持配置“预定义地址组”。
- 开启NAT64防护后,使用IPv6访问时,请注意将198.19.0.0/16的网段放通。因为NAT64会将源IP转换成198.19.0.0/16的网段进行ACL访问控制
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域。 - 在左侧导航树中,单击左上方的
,选择,进入云防火墙的概览页面。 - (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择,进入“访问策略管理”页面。
- 添加新的防护规则。
单击“添加”,在弹出的“添加防护规则”中,填写新的防护信息,填写规则请参见表 添加防护规则-互联网边界。
表1 添加防护规则-互联网边界 参数名称
参数说明
规则类型
选择“EIP规则”:防护EIP的流量,仅支持配置公网IP;配置私网IP请参见配置示例-NAT防护
说明:- 仅“专业版”防火墙支持配置规则类型参数。
名称
自定义安全策略规则的名称。
方向
“防护规则”选择EIP规则时,需要选择流量的方向:- 外-内:互联网访问云上资产(EIP)。
- 内-外:云上资产(EIP)访问互联网。
注意:存量“旁路版”防火墙配置“源”和“目的”均为Any时,防火墙将对双向流量进行防护,“方向”配置为“外-内”或“内-外”效果相同。
源
目的
设置访问流量中的接收数据的地址参数。- IP地址:支持设置单个IP地址、多个连续IP地址、地址段。
- 单个IP地址,如:192.168.10.5
- 多个连续IP地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
- 地址段,使用"/"隔开掩码,如:192.168.2.0/24
- IP地址组:支持多个IP地址的集合,添加自定义IP地址组请参见添加自定义IP地址组。
- 地域:“方向”选择“内-外”时,支持地理位置防护,通过指定大洲、国家、地区配置防护规则。
- 域名/域名组:“方向”选择“内-外”时,支持域名或域名组的防护。
- 应用型:支持域名或泛域名的防护;适用应用层协议,支持HTTP、HTTPS的应用协议类型;通过域名匹配。
- 网络型:支持单个域名或多个域名的防护;适用网络层协议,支持所有协议类型;通过解析到的IP过滤。
说明:- 防护HTTP、HTTPS应用类型的域名时可选择任意类型。
- 防护HTTP、HTTPS应用类型的泛域名时仅支持选择“应用型”的任意选项。
- 防护其他应用类型(如FTP、MySQL、SMTP)的单个域名:选择“网络型”的任意选项(选择“域名”时,解析出的ip地址上限个数为600个)。
- 防护其他应用类型(如FTP、MySQL、SMTP)的多个域名。:选择“网络型”“网络域名组”
- 同一域名同时需要配置HTTP/HTTPS(泛域名/应用型域名组)和其他应用类型(网络型域名组)时,“网络型”的防护规则“优先级”需高于“应用型”。
- 应用型与网络型详细介绍请参见添加域名组。
- Any:任意目的地址。
服务
- 服务:设置协议类型、源端口和目的端口。
- 协议类型:支持选择TCP、UDP、ICMP。
- 源/目的端口:“协议类型”选择“TCP”或“UDP”时,需要设置端口号。
说明:- 如您需设置该IP地址的全部端口,可配置“端口”为“1-65535”。
- 如您需设置某个端口,可填写为单个端口。例如设置22端口的访问,则配置“端口”为“22”。
- 如您需设置某个范围的端口,可填写为连续端口组,中间使用“-”隔开。例如设置80-443端口的访问,则配置“端口”为“80-443”。
- 服务组:支持多个服务(协议、源端口、目的端口)的集合,添加自定义服务组请参见添加服务组,预定义服务组请参见查看预定义服务组。
- Any:任意协议类型和端口号。
动作
设置流量经过防火墙时的处理动作。
- 放行:防火墙允许此流量转发。
- 阻断:防火墙禁止此流量转发。
时间计划管理
(可选)单击“时间计划管理”设置规则的生效时间段,选择已设置的时间计划或新增时间计划。
配置长连接
当前防护规则仅配置一个“服务”且“协议类型”选择“TCP”或“UDP”时,可配置业务会话老化时间。- 是:设置长连接时长。
- 否:保留默认时长,各协议规则默认支持的连接时长如下:
- TCP协议:1800s。
- UDP协议:60s。
说明:最大支持50条规则设置长连接。
长连接时长
“配置长连接”选择“是”时,需要配置此参数。
设置长连接时长。输入“时”、“分”、“秒”。
说明:支持时长设置为1秒~1000天。
标签
(可选)用于标识规则,可通过标签实现对安全策略的分类和搜索。
策略优先级
设置该策略的优先级:
- 置顶:表示将该策略的优先级设置为最高。
- 移动至选中规则后:表示将该策略优先级设置到某一规则后。
启用状态
设置该策略是否立即启用。
:表示立即启用,规则生效。
:表示立即关闭,规则不生效。描述
(可选)标识该规则的使用场景和用途,以便后续运维时快速区分不同规则的作用。
- 单击“确认”,完成配置防护规则。
EIP开启防护后,访问控制策略默认状态为放行,如果您希望仅放行几条EIP,建议您添加一条优先级最低的阻断全部流量的防护规则。
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域。
- 在左侧导航树中,单击左上方的,选择,进入云防火墙的概览页面。
- (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择,选择“VPC边界”页签,进入VPC边界管理页面。
- 添加新的防护规则。
单击“添加”按钮,在弹出的“添加防护规则”中,填写新的防护信息,填写规则请参见表 添加防护规则。
表2 添加防护规则-VPC边界 参数名称
参数说明
名称
自定义安全策略规则的名称。
源
设置访问流量中发送数据的地址参数。- IP地址:支持设置单个IP地址、多个连续IP地址、地址段。
- 单个IP地址,如:192.168.10.5
- 多个连续IP地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
- 地址段,使用"/"隔开掩码,如:192.168.2.0/24
- IP地址组:支持多个IP地址的集合,添加IP地址组请参见添加IP地址组。
- ANY:任意源地址。
目的
设置访问流量中的接收数据的地址参数。- IP地址:支持设置单个IP地址、多个连续IP地址、地址段。
- 单个IP地址,如:192.168.10.5
- 多个连续IP地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
- 地址段,使用"/"隔开掩码,如:192.168.2.0/24
- IP地址组:支持多个IP地址的集合,添加IP地址组请参见添加IP地址组。
- ANY:任意目的地址。
服务
设置访问流量的“协议类型”和“端口号”。- 服务:设置协议类型、源端口和目的端口。
- 协议类型:支持选择TCP、UDP、ICMP。
- 源/目的端口:“协议类型”选择“TCP”或“UDP”时,需要设置端口号。
说明:- 如您需设置该IP地址的全部端口,可配置“端口”为“1-65535”。
- 如您需设置某个端口,可填写为单个端口。例如设置22端口的访问,则配置“端口”为“22”。
- 如您需设置某个范围的端口,可填写为连续端口组,中间使用“-”隔开。例如设置80-443端口的访问,则配置“端口”为“80-443”。
- 服务组:支持多个服务(协议、源端口、目的端口)的集合,添加自定义服务组请参见添加服务组,预定义服务组请参见。
- ANY:任意协议类型和端口号。
动作
设置流量经过防火墙时的处理动作。
- 放行:防火墙允许此流量转发。
- 阻断:防火墙禁止此流量转发。
时间计划管理
(可选)单击“时间计划管理”设置规则的生效时间段,选择已设置的时间计划或新增时间计划。
配置长连接
当前防护规则仅配置一个“服务”且“协议类型”选择“TCP”或“UDP”时,可配置业务会话老化时间。- 是:设置长连接时长。
- 否:保留默认时长,各协议规则默认支持的连接时长如下:
- TCP协议:1800s。
- UDP协议:60s。
说明:最大支持50条规则设置长连接。
长连接时长
“配置长连接”选择“是”时,需要配置此参数。
设置长连接时长。输入“时”、“分”、“秒”。
说明:支持时长设置为1秒~1000天。
标签
(可选)用于标识规则,可通过标签实现对安全策略的分类和搜索。
策略优先级
设置该策略的优先级:
- 置顶:表示将该策略的优先级设置为最高。
- 移动至选中规则后:表示将该策略优先级设置到某一规则后。
说明:
设置后,优先级数字越小,策略的优先级越高。
启用状态
设置该策略是否立即启用。
:表示立即启用,规则生效;
:表示立即关闭,规则不生效。描述
(可选)标识该规则的使用场景和用途,以便后续运维时快速区分不同规则的作用。
- IP地址:支持设置单个IP地址、多个连续IP地址、地址段。
- 单击“确认”,完成配置防护规则。
访问控制策略默认状态为放行。
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域。
- 在左侧导航树中,单击左上方的,选择,进入云防火墙的概览页面。
- (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择,进入“访问策略管理”页面。
- 添加新的防护规则。
单击“添加”,在弹出的“添加防护规则”中,填写新的防护信息。
- DNAT场景填写规则请参见表 添加防护规则-DNAT场景
- SNAT场景填写规则请参见表 添加防护规则-SNAT场景。
表3 添加防护规则-DNAT场景 参数名称
参数说明
规则类型
选择NAT规则: 防护NAT网关的流量,支持配置私网IP。
说明:- 仅“专业版”防火墙支持配置规则类型参数。
- NAT规则需满足:
- “专业版”防火墙,升级版本请参见云防火墙如何变更版本规格?。
- 已配置VPC边界防火墙,请参见管理VPC边界防火墙。
名称
自定义安全策略规则的名称。
方向
选择“DNAT”。
源
目的
设置访问流量中的接收数据的地址参数。- IP地址:支持设置单个IP地址、多个连续IP地址、地址段。
- 单个IP地址,如:192.168.10.5
- 多个连续IP地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
- 地址段,使用"/"隔开掩码,如:192.168.2.0/24
- IP地址组:支持多个IP地址的集合,添加自定义IP地址组请参见添加自定义IP地址组。
- Any:任意目的地址。
服务
- 服务:设置协议类型、源端口和目的端口。
- 协议类型:支持选择TCP、UDP、ICMP。
- 源/目的端口:“协议类型”选择“TCP”或“UDP”时,需要设置端口号。
说明:- 如您需设置该IP地址的全部端口,可配置“端口”为“1-65535”。
- 如您需设置某个端口,可填写为单个端口。例如设置22端口的访问,则配置“端口”为“22”。
- 如您需设置某个范围的端口,可填写为连续端口组,中间使用“-”隔开。例如设置80-443端口的访问,则配置“端口”为“80-443”。
- 服务组:支持多个服务(协议、源端口、目的端口)的集合,添加自定义服务组请参见添加服务组,预定义服务组请参见查看预定义服务组。
- Any:任意协议类型和端口号。
动作
设置流量经过防火墙时的处理动作。
- 放行:防火墙允许此流量转发。
- 阻断:防火墙禁止此流量转发。
时间计划管理
(可选)单击“时间计划管理”设置规则的生效时间段,选择已设置的时间计划或新增时间计划。
配置长连接
当前防护规则仅配置一个“服务”且“协议类型”选择“TCP”或“UDP”时,可配置业务会话老化时间。- 是:设置长连接时长。
- 否:保留默认时长,各协议规则默认支持的连接时长如下:
- TCP协议:1800s。
- UDP协议:60s。
说明:最大支持50条规则设置长连接。
长连接时长
“配置长连接”选择“是”时,需要配置此参数。
设置长连接时长。输入“时”、“分”、“秒”。
说明:支持时长设置为1秒~1000天。
标签
(可选)用于标识规则,可通过标签实现对安全策略的分类和搜索。
策略优先级
设置该策略的优先级:
- 置顶:表示将该策略的优先级设置为最高。
- 移动至选中规则后:表示将该策略优先级设置到某一规则后。
启用状态
设置该策略是否立即启用。
:表示立即启用,规则生效。
:表示立即关闭,规则不生效。描述
(可选)标识该规则的使用场景和用途,以便后续运维时快速区分不同规则的作用。
表4 添加防护规则-SNAT场景 参数名称
参数说明
规则类型
选择NAT规则: 防护NAT网关的流量,支持配置私网IP。
说明:- 仅“专业版”防火墙支持配置规则类型参数。
- NAT规则需满足:
- “专业版”防火墙,升级版本请参见云防火墙如何变更版本规格?。
- 已配置VPC边界防火墙,请参见管理VPC边界防火墙。
名称
自定义安全策略规则的名称。
方向
选择“SNAT”。
源
目的
设置访问流量中的接收数据的地址参数。- IP地址:支持设置单个IP地址、多个连续IP地址、地址段。
- 单个IP地址,如:192.168.10.5
- 多个连续IP地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
- 地址段,使用"/"隔开掩码,如:192.168.2.0/24
- IP地址组:支持多个IP地址的集合,添加自定义IP地址组请参见添加自定义IP地址组。
- 地域:支持地理位置防护,通过指定大洲、国家、地区配置防护规则。
- 域名/域名组:“方向”选择“内-外”时,支持域名或域名组的防护。
- 应用型:支持域名或泛域名的防护;适用应用层协议,支持HTTP、HTTPS的应用协议类型;通过域名匹配。
- 网络型:支持单个域名或多个域名的防护;适用网络层协议,支持所有协议类型;通过解析到的IP过滤。
说明:- 防护HTTP、HTTPS应用类型的域名时可选择任意类型。
- 防护HTTP、HTTPS应用类型的泛域名时仅支持选择“应用型”的任意选项。
- 防护其他应用类型(如FTP、MySQL、SMTP)的单个域名:选择“网络型”的任意选项(选择“域名”时,解析出的ip地址上限个数为600个)。
- 防护其他应用类型(如FTP、MySQL、SMTP)的多个域名。:选择“网络型”“网络域名组”
- 同一域名同时需要配置HTTP/HTTPS(泛域名/应用型域名组)和其他应用类型(网络型域名组)时,“网络型”的防护规则“优先级”需高于“应用型”。
- 应用型与网络型详细介绍请参见添加域名组。
- Any:任意目的地址。
服务
- 服务:设置协议类型、源端口和目的端口。
- 协议类型:支持选择TCP、UDP、ICMP。
- 源/目的端口:“协议类型”选择“TCP”或“UDP”时,需要设置端口号。
说明:- 如您需设置该IP地址的全部端口,可配置“端口”为“1-65535”。
- 如您需设置某个端口,可填写为单个端口。例如设置22端口的访问,则配置“端口”为“22”。
- 如您需设置某个范围的端口,可填写为连续端口组,中间使用“-”隔开。例如设置80-443端口的访问,则配置“端口”为“80-443”。
- 服务组:支持多个服务(协议、源端口、目的端口)的集合,添加自定义服务组请参见添加服务组,预定义服务组请参见查看预定义服务组。
- Any:任意协议类型和端口号。
动作
设置流量经过防火墙时的处理动作。
- 放行:防火墙允许此流量转发。
- 阻断:防火墙禁止此流量转发。
时间计划管理
(可选)单击“时间计划管理”设置规则的生效时间段,选择已设置的时间计划或新增时间计划。
配置长连接
当前防护规则仅配置一个“服务”且“协议类型”选择“TCP”或“UDP”时,可配置业务会话老化时间。- 是:设置长连接时长。
- 否:保留默认时长,各协议规则默认支持的连接时长如下:
- TCP协议:1800s。
- UDP协议:60s。
说明:最大支持50条规则设置长连接。
长连接时长
“配置长连接”选择“是”时,需要配置此参数。
设置长连接时长。输入“时”、“分”、“秒”。
说明:支持时长设置为1秒~1000天。
标签
(可选)用于标识规则,可通过标签实现对安全策略的分类和搜索。
策略优先级
设置该策略的优先级:
- 置顶:表示将该策略的优先级设置为最高。
- 移动至选中规则后:表示将该策略优先级设置到某一规则后。
启用状态
设置该策略是否立即启用。
:表示立即启用,规则生效。
:表示立即关闭,规则不生效。描述
(可选)标识该规则的使用场景和用途,以便后续运维时快速区分不同规则的作用。
- 单击“确认”,完成配置防护规则。
访问控制策略默认状态为放行。
配置示例-单独放行入方向中指定IP的访问流量
配置示例-拦截某一地区的访问流量
配置示例-放行业务访问某平台的流量
- 将平台域名添加至应用型域名组,如图 添加某平台域名组所示。
- 配置两条防护规则:
- 一条拦截所有流量,如图 拦截所有流量所示,优先级置于最低。
- 一条放行EIP对某平台的流量访问,如图 放行IP对某平台的访问流量所示,优先级设置最高。
配置示例-NAT防护
假如您的私网IP为“10.1.1.2”, 通过NAT网关访问的外部域名为“www.example.com”,您可以参照以下参数配置NAT防护,其余参数可根据您的部署进行填写:
后续操作
失败配置:添加完成后,规则可能会下发失败,处理方式请参见失败配置。
