本文介绍了如何通过控制台创建入方向规则。入方向规则用于控制边缘实例的入向流量。例如,您可以配置入方向规则,以允许指定的IP地址通过特定协议访问边缘实例的指定端口。
说明
默认情况下,如果您未创建入方向规则,外网防火墙会拒绝所有来自外网的流量并允许所有来自内网的流量。
使用限制
- 一个外网防火墙下不能存在重复的入方向规则。重复是指两条规则中配置的优先级、IP地址、协议、端口号均相同。
- 一个默认外网防火墙或自定义外网防火墙下的入方向规则和出方向规则的总数不能超过40。
- 一个全局外网防火墙下的入方向规则和出方向规则的总数不能超过150。
- 179端口是针对BGP协议的保留端口,不可用于外网防火墙规则的配置。如果在规则中配置该端口,端口配置将不生效。
- 当您在入方向规则中配置80端口或443端口时,须确保解析到绑定至当前外网防火墙边缘实例的域名已完成工信部备案。如果您未通过域名管理模块添加过域名,系统会要求您添加域名以进行域名备案检测。
- 完成域名备案且成功添加域名后,发送至该域名的流量将被放行。
- 如果域名未备案或未在系统中记录,发送至该域名的流量将被阻断。
- 如果您有多个域名或不确定应该添加哪个域名,请提交工单或联系客服人员以获取帮助。
操作步骤
您可以通过以下两种方式创建入方向规则:添加规则和快速添加。使用添加规则方式时,您需要手动输入端口和IP地址范围。使用快速添加方式时,您可以直接勾选常见端口和IP地址范围。
添加规则
登录边缘计算节点控制台。
在左侧导航栏中,选择边缘网络 > 外网防火墙。
在外网防火墙列表中,找到目标外网防火墙,然后单击操作列的设置入方向规则。
在入方向规则页签,单击添加规则。
在添加入方向规则对话框,参照以下说明配置相关参数,然后单击确定。
允许一次添加一条或多条规则。
配置项 | 描述 |
---|
策略 | 入方向规则的策略。默认策略为允许。 |
协议 | 选择协议。取值可以是TCP、UDP、ICMP、GRE或全部。 |
优先级 | 设置规则的优先级。默认值:100。取值范围:1~100。
更大的数值代表更高的规则优先级。 说明 - 该参数默认不可见。如需使用规则优先级功能,请提交工单进行申请。
- 关于优先级的更多说明,请参见规则优先级。
|
端口范围 | 指定端口。端口范围:1~65535。
您可以输入单个端口、多个端口、端口段、端口与端口段组合。不同的值之间须采用半角逗号(,)隔开。如果不设置端口范围参数,则表示指定全部端口。
示例: - 单个端口:66。
- 多个端口:66,77,88,99。最多允许5个端口。
- 端口段:66-77,88-99。最多允许5个端口段。一条规则里配置的端口的总数量不能超过1000。
- 端口与端口段组合:66,77,88-99。最多允许5个端口和端口段。一条规则里配置的端口的总数量不能超过1000。
- 全部端口:不设置端口范围参数,则表示指定全部端口。
说明 - 使用80端口和443端口时,请确保已了解相关的使用限制。
- 同一条规则中,不能存在重叠的端口号。例如,当您输入55-70,66-77,100端口时,系统会提示您端口重叠。此时,您需要修改端口号。
|
IP类型 | 选择IP地址类型。取值可以是IPv4和IPv6。 |
源IP地址 | 配置源IP地址。源IP地址须采用CIDR表示法。
最多允许输入50个条目。每个条目可以是单个IP地址或IP地址范围。多个条目之间须使用逗号(,)分隔。但是须注意,如果您输入了多个条目,将会创建出相同数量的规则。每个条目对应一条规则。
示例: - 单个IP地址:192.168.10.10/32
- IP地址范围:192.168.52.0/24
- 所有IP地址:
|
描述 | 可选。输入入方向规则的描述信息。 |
快速添加
登录边缘计算节点控制台。
在左侧导航栏中,选择边缘网络 > 外网防火墙。
在外网防火墙列表中,找到目标外网防火墙,然后单击操作列的设置入方向规则。
在入方向规则页签,单击快速添加。
在快速添加入方向规则对话框中,参照以下说明配置相关参数,然后单击确定。
配置项 | 描述 |
---|
外网防火墙 | 外网防火墙的名称。 |
策略 | 入方向规则的策略。默认策略为允许。 |
优先级 | 设置规则的优先级。默认值:100。取值范围:1~100。 说明 - 该参数默认不可见。如需使用规则优先级功能,请提交工单进行申请。
- 关于优先级的更多说明,请参见规则优先级。
|
常见协议端口 | 根据业务需求选择端口。可选的端口如下: - 远程登录和ping:SSH(22)、RDP(3389)、FTP(20-21)、Telnet(23)、ICMP(全部)
- Web服务:HTTP(80)、HTTPS(443)、HTTP_ALT(8080)
- 数据库:MySQL(3306)、MS SQL(1433)、PostgreSQL(5423)、Oracle(1521)、Redis(6379)
说明 80端口和443端口的使用说明,请参考使用限制。 |
IP类型 | 选择IP地址类型。取值可以是IPv4和IPv6。 |
IP地址 | 配置源IP地址。
系统为您提供了一些常用的IPv4地址范围,您可以直接从列表中选择一个或多个IP地址范围。
如果您需要配置的源IP地址不在列表中,请手动输入IP地址或IP地址范围并选中。IP地址必须采用CIDR表示法。
示例: - 单个IP地址:192.168.10.10/32
- IP地址范围:192.168.52.0/24
- 所有IP地址:
|
描述 | 可选。输入入方向规则的描述信息。 |