更新时间:2024-10-30 GMT+08:00
访问控制策略概述
开启防护后,云防火墙默认放行所有流量,配置合适的访问控制策略能有效地帮助您对内部服务器与外网之间的流量进行精细化管控,防止内部威胁扩散,增加安全战略纵深。
访问控制策略类型
访问控制策略分为“防护规则”和“黑/白名单”两类功能,区别如表 防护规则和黑/白名单的区别所示,流量命中某一条策略时,执行该策略的动作,各功能的防护顺序请参见云防火墙的防护顺序是什么?。
规格限制
VPC边界防护和NAT流量防护,需满足专业版防火墙且开启VPC边界防火墙防护。
配置阻断策略时注意事项
配置阻断IP的防护规则或黑名单时需注意以下几点:
- 建议优先配置精准的IP(如192.168.10.5),减少网段配置,避免误拦截。
- 对于反向代理IP(如内容分发网络(CDN)、DDoS高防、Web应用防火墙(WAF)的回源IP),请谨慎配置阻断策略,建议配置放行的防护规则或白名单。
- 对于正向代理IP(如公司出口IP),影响范围较大,请谨慎配置阻断策略。
- 配置“地域”防护时,需考虑公网IP可能更换地址的情况。
通配符规则
|
参数名称 |
输入示例 |
说明 |
|---|---|---|
|
源/目的 |
0.0.0.0/0 |
所有IP。 |
|
域名 |
www.example.com |
对www.example.com域名生效。 |
|
域名 |
*.example.com |
所有以example.com为后缀的域名,例如:test.example.com。 |
|
服务-源端口/目的端口 |
1-65535 |
所有端口生效。 |
|
服务-源端口/目的端口 |
80-443 |
对80到443之间的所有端口生效。 |
|
服务-源端口/目的端口 |
|
对80和443端口生效。 |
相关文档
- 添加单个规则实现流量防护,请参见通过添加防护规则拦截/放行流量,添加单个黑/白名单实现流量防护请参见通过添加黑白名单拦截/放行流量。
- 批量添加防护策略,请参见导入/导出防护策略。
- 添加策略之后的后续操作:
- 策略的命中情况,整体防护概况请参见通过策略助手查看防护信息,详细日志请参见访问控制日志。
- 流量趋势和统计结果,整体防护概况请参见查看流量数据,详细流量记录请参见流量日志。
