访问控制策略概述
开启云防火墙防护时,系统默认放行所有流量。如果未配置访问控制策略,内部服务器与外网之间的通信将完全开放,无法有效管控未授权访问或内部威胁扩散。为此云防火墙提供访问控制策略功能,可以通过自定义拦截或放行规则,对特定流量进行安全隔离,实现多方位防护。
访问控制策略类型
访问控制策略包括“防护规则”、“黑名单”、“白名单”、“流量过滤”功能,区别如表1所示,流量命中某一条策略时,执行该策略的动作,各功能的防护顺序请参见访问控制策略的防护顺序。
|
- |
防护规则 |
黑名单 |
白名单 |
流量过滤 |
|---|---|---|---|---|
|
支持的防护对象 |
|
|
|
IP地址 |
|
网络类型 |
|
|
|
|
|
防护后的动作 |
|
直接拦截流量。 |
流量被云防火墙放行,不再经过其它功能检测。 |
直接拦截流量。 |
|
应用场景&特点 |
通过具体的特征识别指定流量,适用于需要精细化控制特定流量的情况;例如通过协议类型、端口号、应用等特征配置规则。 |
快速拦截已识别的安全威胁,适用于已知恶意流量数据的情况。 |
快速放行可信流量,适用于明确可信IP地址的情况。 |
通过配置的特征快速封堵异常流量,适用于需要快速封堵大量IP地址的情况。 |
|
防护日志 |
||||
|
配置方式 |
||||
|
注意:
“流量过滤”是新上线的功能,如果您当前在控制台无法进入页面,请提交工单帮您升级防火墙引擎。 |
||||
访问控制策略的防护顺序
如需查看云防火墙的所有防护策略的防护顺序,请参见云防火墙的防护顺序是什么?。
规格限制
VPC边界防护和NAT流量防护,需满足专业版防火墙且开启VPC边界防火墙防护。
配置阻断策略时注意事项
配置阻断IP的防护规则或黑名单时需注意以下几点:
- 建议优先配置精准的IP(如192.168.10.5),减少网段配置,避免误拦截。
- 对于反向代理IP(如内容分发网络(CDN)、DDoS高防、Web应用防火墙(WAF)的回源IP),请谨慎配置阻断策略,建议配置放行的防护规则或白名单。
- 对于正向代理IP(如公司出口IP),影响范围较大,请谨慎配置阻断策略。
- 配置“地域”防护时,需考虑公网IP可能更换地址的情况。
防护规则中的防护元素
防护规则支持识别并匹配不同流量元素,实现对相关流量的放行或阻断。
|
匹配项 |
说明 |
配置类型 |
不同规则支持的配置类型 |
|---|---|---|---|
|
源 |
网络连接发起方 |
|
|
|
目的 |
网络连接接收方 |
|
|
|
服务 |
流量的协议类型或端口号 |
服务和服务组:表示指定一个服务或者多个服务的集合,通过指定协议类型、源端口、目的端口等信息来标识服务。 |
ICMP协议不支持配置端口。 |
|
服务:设置协议类型、源端口和目的端口。
|
|||
|
服务组:多个服务的集合。 |
|||
|
ANY:不确定具体协议类型时可选择ANY。 |
|||
|
应用 |
应用层协议 |
支持HTTP、HTTPS、SMTP、SMTPS、SSL、POP3等多种协议。 不确定具体应用类型时可选择ANY。 |
取决于选择的协议类型。 |
配置示例:
|
参数名称 |
输入示例 |
说明 |
|---|---|---|
|
源/目的 |
0.0.0.0/0 |
所有IP。 |
|
域名 |
www.example.com |
对www.example.com域名生效。 |
|
*.example.com |
所有以example.com为后缀的域名,例如:test.example.com。 |
|
|
服务-源端口/目的端口 |
1-65535 |
所有端口生效。 |
|
80-443 |
对80到443之间的所有端口生效。 |
|
|
对80和443端口生效。 |
相关文档
- 添加单个黑/白名单实现流量防护请参见通过黑白名单拦截/放行流量,添加单个防护规则实现流量防护:
- 互联网访问云上资产(EIP)的流量防护请参见互联网访问云上资产(入云方向)。
- 云上资产(EIP)访问互联网的流量防护请参见云上资产访问互联网(出云方向)。
- 防护VPC与VPC之间、VPC与线下IDC之间的访问流量,请参见通过防护规则拦截/放行VPC边界流量。
- 防护互联网边界中私网资产的场景,请参见通过防护规则拦截/放行NAT网关边界流量。
- 批量添加防护策略,请参见导入/导出防护策略。
- 添加策略之后的后续操作:
- 策略的命中情况,整体防护概况请参见通过策略助手查看防护信息,详细日志请参见访问控制日志。
- 流量趋势和统计结果,整体防护概况请参见流量分析,详细流量记录请参见流量日志。
- 如果您的业务可能被防护策略误拦截,排查方式请参见配置CFW防护策略后,业务流量异常怎么办?。
