You need to enable JavaScript to run this app.
导航
只允许主机访问指定域名的策略(出方向)
最近更新时间:2023.12.06 18:03:16首次发布时间:2023.11.24 20:34:10

本文介绍如何配置出向策略配置,只允许业务对外访问console.volcengine.com域名。


示例场景

ECS(主机)绑定的EIP是180.100.1.1/32,需要设置只允许主机访问console.volcengine.com域名。云防火墙在没有配置策略时默认放行所有流量,因此该场景下需要配置 2 条访问策略。一条为高级优先放行策略,放行该主机对外访问console.volcengine.com域名的流量;另一条为低优先级阻断策略,阻断该主机对外访问的全部流量。

操作步骤
  1. 登录云防火墙控制台
  2. 添加放行策略
    1. 在左侧导航栏,选择访问控制 > 互联网边界。在出站规则页签,单击添加规则。
    2. 添加一条高优先级放行策略,放行该主机对外访问console.volcengine.com域名的流量。

配置项

配置说明

配置参数

规则优先级

选择该策略的优先级,这里选择最高优先级,配置完成后,也可以在访问控制策略列表中,单击移动对策略优先级自定义调整。

  • 最高优先级:指访问控制策略生效的优先级最高,最先生效。
  • 最低优先级:指访问控制策略生效的优先级最低,最后生效。

最高优先级

访问源类型

您需要选择访问源类型,并根据访问源类型输入访问源地址。这里选择IP类型,并输入180.100.1.1/32,主机180.100.1.1/32可以访问外部域名。

  • 选择IP类型时,需要输入IP地址或IP地址段。如180.184.1.1180.184.0.0/160.0.0.0/0表示为全部。
  • 选择地址簿类型时,您需要提前创建IP地址簿。

IP

访问源

180.100.1.1/32

访问目的类型

您需要选择访问目的类型,并根据访问目的类型输入访问目的地址。这里选择域名类型,并输入console.volcengine.com,主机可以访问该域名。

  • 选择IP类型时,需要输入IP地址或IP地址段。如180.184.1.1180.184.0.0/160.0.0.0/0表示为全部。
  • 选择域名类型,需要输入目的域名地址
    • 输入域名支持输入单域名example.com、泛域名*.example.com、多级域名example1.example2.com

    说明

    • 请勿输入http(s)等协议内容。
    • 域名访问空策略原理是根据HTTP协议数据中Host信息,以及HTTPS协议数据包Client Hello中的Server Name信息中获取域名数据进行匹配控制。若您的业务流量数据包中不含这两个字段,则域名策略无法生效。
  • 选择地址簿类型时,您需要提前创建IP地址簿。
  • 选择区域类型时,需要选择源地址所在的区域。可选中国区域或国际区域。

域名

访问目的

console.volcengine.com

协议类型

传输层协议类型,域名访问控制策略仅对HTTPHTTPS协议生效,所以默认设置TCP协议。

TCP

目的端口类型

设置目的端口类型和目的端口。这里选择0/65535或80、443端口。

说明

  • 域名访问控制策略仅对HTTPHTTPS协议生效,请确保目的端口对应的协议为HTTP或HTTPS协议
  • 选择端口类型时,需要输入端口或端口段,例如22、80/88、0/65535。
  • 地址簿:选择地址簿类型时,您需要提前创建端口地址簿。

端口

目的端口

0/65535

动作

设置匹配成功的流量在该条策略的放行情况。

  • 放行:放行该流量,不会记录访问控制日志,仅记录流量日志。
  • 阻断:拦截该流量,会在访问控制日志中记录阻断日志。
  • 观察:放行该流量。会在访问控制日志中记录阻断日志。

放行

描述

输入当前策略内容和使用场景。便于您识别并应用地址簿

console.volcengine.com域名放行策略

策略开关

设置策略开关。如果您创建策略时未启用策略,可以在策略列表中开启策略。

开启

  1. 添加阻断策略

    1. 在左侧导航栏,选择访问控制 > 互联网边界。在出站规则页签,单击添加规则。
    2. 添加一条低优先级阻断策略,阻断该主机对外访问的全部流量。

    配置项

    配置参数

    规则优先级

    最低优先级

    访问源类型

    IP

    访问源

    180.100.1.1/32

    访问目的类型

    IP

    访问目的

    0.0.0.0/0

    协议类型

    ANY

    动作

    阻断

    描述

    禁止主动访问公网

    策略开关

    开启