You need to enable JavaScript to run this app.
导航
只允许公网流量访问指定端口的策略(入方向)
最近更新时间:2023.11.24 20:34:05首次发布时间:2023.11.24 20:34:05

本文介绍如何配置入向策略配置,只允许业务流量部分端口对互联网开放。


示例场景

ECS(主机)绑定的EIP是180.100.1.1/32,需要设置所有公网(0.0.0.0/0)流量只允许访问主机的TCP 80端口和443端口。云防火墙在没有配置策略时默认放行所有流量,因此该场景下需要配置 2 条访问策略。一条为高级优先放行策略,放行所有访问该主机 80 和 443 端口的公网流量;另一条为低优先级阻断策略,阻断所有访问该主机全部端口的公网流量。

操作步骤
  1. 登录云防火墙控制台
  2. 新增端口地址簿
    1. 在左侧导航栏,选择访问控制 > 地址簿管理。
    2. 单击新增地址簿, 为80和443端口配置端口地址簿。

配置项

配置说明

配置参数

地址簿类型

选择地址簿的类型,这里选择端口地址簿。为80和443端口配置端口地址簿。

  • IP地址簿:单个地址簿最多可添加2000个IP地址。
  • 端口地址簿:单个地址簿最多可添加2000个端口地址。

端口地址簿

地址簿名称

自定义地址簿名称。建议输入便于您有效区分不同地址簿的名称。

Web服务端口

端口

输入端口。多个端口间用半角逗号(,)隔开。这里输入80和443端口。

80,443

地址簿描述

输入当前地址簿内容和使用场景。便于您识别并应用地址簿。

web业务端口,80和443

  1. 添加放行策略
    1. 在左侧导航栏,选择访问控制 > 互联网边界。在入站规则页签,单击添加规则。
    2. 添加一条高优先级放行策略,放行所有访问该主机 80 和 443 端口的公网流量。

配置项

配置说明

配置参数

规则优先级

选择该策略的优先级,这里选择最高优先级,配置完成后,也可以在访问控制策略列表中,单击移动对策略优先级自定义调整。

  • 最高优先级:指访问控制策略生效的优先级最高,最先生效。
  • 最低优先级:指访问控制策略生效的优先级最低,最后生效。

最高优先级

访问源类型

您需要选择访问源类型,并根据访问源类型输入访问源地址。这里选择IP类型,并输入0.0.0.0/0,全部外部访问源IP可以访问180.100.1.1/32主机。

  • 选择IP类型时,需要输入IP地址或IP地址段。如180.184.1.1180.184.0.0/160.0.0.0/0表示为全部。
  • 选择地址簿类型时,您需要提前创建IP地址簿。
  • 选择区域类型时,需要选择源地址所在的区域。可选国内区域或国际区域。

IP

访问源

0.0.0.0/0

访问目的类型

您需要选择访问目的类型,并根据访问目的类型输入访问目的地址。这里选择IP类型,并输入180.100.1.1/32全部外部访问源IP可以访问180.100.1.1/32主机。

  • 选择IP类型时,需要输入IP地址或IP地址段。如180.184.1.1180.184.0.0/160.0.0.0/0表示为全部。
  • 选择地址簿类型时,您需要提前创建IP地址簿。

IP

访问目的

180.100.1.1/32

协议类型

传输层协议类型,支持设置为:TCPUDPICMPANY。不确定具体协议时可选择ANY, 由于本次配置的目的端口的为80、443端口,可选择TCPANY

TCP

目的端口类型

设置目的端口类型和目的端口。本次选择地址簿,需要对80和443端口进行配置。

  • 选择端口类型时,需要输入端口或端口段,例如22、80/88、0/65535。
  • 地址簿:选择地址簿类型时,您需要提前创建端口地址簿。

地址簿

目的端口

Web服务端口地址簿

动作

设置匹配成功的流量在该条策略的放行情况。

  • 放行:放行该流量,不会记录访问控制日志,仅记录流量日志。
  • 阻断:拦截该流量,会在访问控制日志中记录阻断日志。
  • 观察:放行该流量。会在访问控制日志中记录阻断日志。

放行

描述

输入当前策略内容和使用场景。便于您识别并应用地址簿。

web服务80&443端口放行策略

策略开关

设置策略开关。如果您创建策略时未启用策略,可以在策略列表中开启策略。

开启

  1. 添加阻断策略

    1. 在左侧导航栏,选择访问控制 > 互联网边界。在入站规则页签,单击添加规则。
    2. 添加一条低优先级阻断策略,阻断所有访问该主机全部端口的公网流量。

    配置项

    配置参数

    规则优先级

    最低优先级

    访问源类型

    IP

    访问源

    0.0.0.0/0

    访问目的类型

    IP

    访问目的

    180.100.1.1/32

    协议类型

    ANY

    动作

    阻断

    描述

    阻断公网流量访问全部端口

    策略开关

    开启