功能概述
云防火墙提供适用于互联网边界、NAT边界、VPC边界和主机边界的访问控制策略能力,您可以根据业务需要,配置不同防火墙的流量拦截和放行策略,以便更好地管控资产的未授权访问。本文介绍访问控制策略相关功能参数。
前提条件
您必须先开启互联网边界防火墙、VPC边界防火墙、NAT边界防火墙开关,才可以配置相对应防火墙访问控制策略。
策略功能参数说明
功能参数 | 参数说明 |
|---|
访问源 | - IP:对特定的单个IP地址段发起的流量进行访问控制。
- IP地址簿:对一系列IP地址段发起的流量进行访问控制。
- 区域:对特定地理区域发起的流量进行访问控制。
|
访问目的 | 支持IP、IP地址簿、域名和区域。 - IP:对特定的单个IP地址段收到的流量进行访问控制。
- IP地址簿:对一系列IP地址段收到的流量进行访问控制。
- 域名:支持对域名地址收到的流量进行访问控制,支持输入域名支持输入单域名
example.com、泛域名*.example.com、多级域名example1.example2.com说明 - 请勿输入http(s)等协议内容。
- 域名访问空策略原理是根据HTTP协议数据中Host信息,以及HTTPS协议数据包Client Hello中的Server Name信息中获取域名数据进行匹配控制。若您的业务流量数据包中不含这两个字段,则域名策略无法生效。
- 域名地址簿:对一系列域名地址收到的流量进行访问控制。
- 区域:对特定地理区域收到的流量进行访问控制。
|
协议类型 | 支持TCP、UDP、ICMP和ANY。
不确定具体协议类型时可选择ANY。 |
端口 | 对访问流量经过的端口进行访问控制,支持端口和端口地址簿。 |
动作 | - 放行:放行该流量,在访问控制日志中记录放行日志,流量会话中记录流量日志。
- 阻断:拦截该流量,会在访问控制日志中记录阻断日志。
- 观察:放行该流量。会在访问控制日志中记录观察日志。策略的动作设置为观察模式后,您可以在观察一段时间后,根据需要调整为放行或拒绝。
|
策略状态 | - 下发中:新建、修改和删除访问控制策略后,云防火墙约需要1-2分钟将策略下发到引擎。
- 已生效:访问控制策略完成后,策略变更为已生效状态,前端字段刷新略微有延迟,您也可以通过手动刷新表格查看最新策略状态。
|
占用策略数 | 云防火墙将按照访问源、访问目的、端口的元素数量,统计每条访问控制策略的实际占用规格数。 说明 单条策略占用的规格数=源地址个数(IP地址段个数或区域个数)*目的地址个数(IP地址段个数或区域个数或域名个数)*端口段个数。 案例: - 访问源:192.168.1.1,192.168.2.0/24
- 目的地址:www.example.com
- 端口:80,443,22
占用策略数 = 访问源IP地址段个数 * 目的地址域名个数*端口段个数=2*1*3=6 |
操作 | - 编辑:可修改当前当前策略参数配置。
- 复制:可复制出一条与当前策略策略配置相同的新策略,提高配置效率。
- 移动:可以自定义调整当前策略优先级,输入优先级数字即可。
- 删除:可删除该条策略。
|
策略工作原理
如果您未配置任何访问控制策略,云防火墙在访问控制策略匹配环节,默认放行所有流量。
配置访问控制策略后,云防火墙会按照特定的逻辑将访问控制策略展开为一条或多条匹配规则,并下发到引擎。当流量经过云防火墙时,云防火墙按照策略的优先级,依次匹配流量报文,如果流量报文命中某一条策略,则执行该策略动作,并结束策略匹配,否则将继续匹配下一优先级策略,直至命中策略或匹配完所有配置的策略。如果流量匹配完所有访问控制策略后还是没有命中,默认放行该流量。
说明
- 创建、修改和删除访问控制策略后,云防火墙约需要1-2分钟将策略下发到引擎。
- 访问控制策略的优先级数值越小,优先级越高。为了确保访问策略匹配最优,建议您将经常匹配和细化匹配的策略设置为高优先级。