互联网边界防火墙

互联网边界防火墙支持对公网IP资产的出、入互联网流量进行访问控制。您可在云防火墙中配置访问控制策略，限制资产和互联网之间的未授权访问。入站规则：管控外到内的流量。 出站规则：管控内到外的流量。

前提条件

配置互联网边界防火墙策略前，请确认互联网边界防火墙开关已开启，否则策略将不生效。详细内容，请参见防火墙开关。

使用限制

互联网边界防火墙访问控制策略数量存在以下限制：

• 高级版：出站和入站方向各1000条。

入站规则

在【访问控制页面】-【入站规则】标签内点击【添加规则】即可创建外对内访问控制策略。

入站规则字段说明

• 规则优先级：定义规则执行的优先级，最先执行或最后执行。

• 访问源类型：可以选择IP或者区域。

• 访问源（IP）：入站规则访问源支持任意 IP 地址、CIDR 格式地址。

  • 1. 全部外部IP，例如：0.0.0.0/0。

  • 2. 某个网段CIDR，例如：111.111.0.0/16。

  • 3. 某个外部公网IP，例如：111.111.111.111。

• 访问源（区域）：可以选择源IP地址所在的区域，可选中国区域或国际区域。

• 访问目的：入站规则的访问目的仅对您的公网 IP 生效。

  • 1. 你的全部公网IP，例如：0.0.0.0/0。

  • 2. 某个网段内的你的公网IP，例如：111.111.111.0/24。

  • 3. 你的某个公网IP，例如：111.111.111.111。

  • 4.不属于你的公网IP，例如：规则不生效 。

• 目的端口：目的端口信息，可以输入单个端口、全部端口、端口范围。

  • 1. 全部端口，例如：0/65535。

  • 2. 单端口值，例如：22。

  • 3. 端口范围，例如：100/200。

• 协议：当前版本的入站规则支持 TCP 、UDP、ICMP协议

• 动作：

  • 放行：放行命中规则的流量，记录命中次数但不记录访问控制日志，且记录流量日志。

  • 观察：放行命中规则的流量，记录命中次数并记录访问控制日志与流量日志。

  • 阻断：拦截命中规则的流量，记录命中次数并记录访问控制日志，但不记录流量日志。

• 描述：用于描述规则，最多支持100个字符。

• 策略开关：策略开启或关闭。

出站规则

在【访问控制页面】-【出站规则】标签内点击【添加规则】即可创建内对外访问控制策略。

出站规则字段说明

• 规则优先级：定义规则执行的优先级，最先执行或最后执行。

• 访问源：出战规则的访问源仅对您的公网 IP 生效。

  • 1. 你的全部公网IP，例如：0.0.0.0/0。

  • 2. 某个网段内的你的公网IP，例如：111.111.111.0/24。

  • 3. 你的某个公网IP，例如：111.111.111.111。

  • 4.不属于你的公网IP，规则不生效。

• 访问目的类型：可以选择域名、IP、区域。

• 访问目的（IP）：出站规则访问目的支持任意 IP 地址、CIDR 格式地址。

  • 1. 全部外部IP，例如：0.0.0.0/0。

  • 2. 某个网段CIDR，例如：111.111.0.0/16。

  • 3. 某个外部公网IP，例如：111.111.111.111 。

• 访问目的（域名）：支持对多级域名或某个域名进行访问控制。

  • 1. 外部二级域名，例如：*.example.com。

  • 2. 某个外部域名，例如：www.example.com。

• 访问目的（区域）：可以选择目的IP地址所在的区域，可选中国区域或国际区域。

• 访问端口：目的端口信息，可以输入单个端口、全部端口、端口范围。

  • 1. 全部端口，例如：0/65535。

  • 2. 单端口值，例如：22。

  • 3. 端口范围，例如：100/200 。

• 协议：当前版本的入站规则支持 TCP 、UDP、ICMP协议。

• 动作：

  • 放行：放行命中规则的流量，记录命中次数但不记录访问控制日志，且记录流量日志。

  • 观察：放行命中规则的流量，记录命中次数并记录访问控制日志与流量日志。

  • 阻断：拦截命中规则的流量，记录命中次数并记录访问控制日志，但不记录流量日志。

• 描述：用于描述规则，最多支持100个字符。

• 策略开关：策略开启或关闭。