本文介绍如何配置入向策略配置,只允许业务流量部分端口对互联网开放。
ECS(主机)绑定的EIP是180.100.1.1/32,需要设置所有公网(0.0.0.0/0)流量只允许访问主机的TCP 80端口和443端口。云防火墙在没有配置策略时默认放行所有流量,因此该场景下需要配置 2 条访问策略。一条为高级优先放行策略,放行所有访问该主机 80 和 443 端口的公网流量;另一条为低优先级阻断策略,阻断所有访问该主机全部端口的公网流量。
- 登录云防火墙控制台。
- 新增端口地址簿:
- 在左侧导航栏,选择访问控制 > 地址簿管理。
- 单击新增地址簿, 为80和443端口配置端口地址簿。
配置项 | 配置说明 | 配置参数 |
|---|---|---|
地址簿类型 | 选择地址簿的类型,这里选择端口地址簿。为80和443端口配置端口地址簿。
| 端口地址簿 |
地址簿名称 | 自定义地址簿名称。建议输入便于您有效区分不同地址簿的名称。 | Web服务端口 |
端口 | 输入端口。多个端口间用半角逗号(,)隔开。这里输入80和443端口。 | 80,443 |
地址簿描述 | 输入当前地址簿内容和使用场景。便于您识别并应用地址簿。 | web业务端口,80和443 |
- 添加放行策略:
- 在左侧导航栏,选择访问控制 > 互联网边界。在入站规则页签,单击添加规则。
- 添加一条高优先级放行策略,放行所有访问该主机 80 和 443 端口的公网流量。
配置项 | 配置说明 | 配置参数 |
|---|---|---|
规则优先级 | 选择该策略的优先级,这里选择最高优先级,配置完成后,也可以在访问控制策略列表中,单击移动对策略优先级自定义调整。
| 最高优先级 |
访问源类型 | 您需要选择访问源类型,并根据访问源类型输入访问源地址。这里选择IP类型,并输入
| IP |
访问源 | 0.0.0.0/0 | |
访问目的类型 | 您需要选择访问目的类型,并根据访问目的类型输入访问目的地址。这里选择IP类型,并输入
| IP |
访问目的 | 180.100.1.1/32 | |
协议类型 | 传输层协议类型,支持设置为:TCP、UDP、ICMP、ANY。不确定具体协议时可选择ANY, 由于本次配置的目的端口的为80、443端口,可选择TCP或ANY。 | TCP |
目的端口类型 | 设置目的端口类型和目的端口。本次选择地址簿,需要对80和443端口进行配置。
| 地址簿 |
目的端口 | Web服务端口地址簿 | |
动作 | 设置匹配成功的流量在该条策略的放行情况。
| 放行 |
描述 | 输入当前策略内容和使用场景。便于您识别并应用地址簿。 | web服务80&443端口放行策略 |
策略开关 | 设置策略开关。如果您创建策略时未启用策略,可以在策略列表中开启策略。 | 开启 |
添加阻断策略:
- 在左侧导航栏,选择访问控制 > 互联网边界。在入站规则页签,单击添加规则。
- 添加一条低优先级阻断策略,阻断所有访问该主机全部端口的公网流量。
配置项
配置参数
规则优先级
最低优先级
访问源类型
IP
访问源
0.0.0.0/0
访问目的类型
IP
访问目的
180.100.1.1/32
协议类型
ANY
动作
阻断
描述
阻断公网流量访问全部端口
策略开关
开启