互联网边界防火墙策略配置示例云防火墙的入方向和出方向流量是指面向互联网的流量,也就是南北向流量。您可以通过云防火墙访问控制功能对南北向的访问控制策略进行自定义配置,从而实现对访问流量的精准控制、保护您的网络安全。关于互联网边界防火墙策略的配置项介绍,请参见配置互联网边界访问控制策略。
只允许公网流量访问指定端口的策略(入方向)示例:ECS(主机)IP地址是10.1.XX.XX,绑定的EIP是200.2.XX.XX/32,需要设置所有公网(0.0.0.0/0)流量只允许访问主机的TCP 80端口。
登录云防火墙控制台。
在左侧导航栏,选择防护配置 > 访问控制 > 互联网边界。
在入向页签,单击创建策略。在创建入向策略面板的自定义创建页签,配置如下策略。
配置一条允许所有公网流量访问主机的策略,单击确定。
关键配置项如下:
配置项
说明
示例值
源类型
网络流量的发起方。您需要选择访问源类型,并根据类型输入地址。
IP
访问源
0.0.0.0/0
说明 0.0.0.0/0表示所有公网IP。
目的类型
网络流量的接收方。您需要选择目的类型,并根据类型输入地址。
IP
目的
200.2.XX.XX/32
协议类型
传输层协议类型,支持设置为:TCP、UDP、ICMP、ANY。不确定具体协议时可选择ANY。
TCP
端口类型
设置目的端口类型和目的端口。
端口
端口
80/80
应用
设置访问流量的应用类型。
ANY
动作
设置匹配成功的流量在该条策略的放行情况。
放行
优先级
选择该策略的优先级,默认为最后,表示优先级最低。
最前
启用状态
设置是否启用策略。如果您创建策略时未启用策略,可以在策略列表中开启策略。
启用
配置一条拒绝所有公网流量访问所有主机的策略,单击确定。
参考上述放行策略,配置拒绝策略,关键配置项如下:
目的:0.0.0.0/0
说明 0.0.0.0/0表示所有主机的IP地址。
协议类型:ANY
端口:0/0
说明 0/0表示主机的所有端口。
应用:ANY
动作:拒绝
优先级:最后
配置完成后,您需要确认允许外到内流量访问主机的TCP 80端口的策略优先级高于拒绝所有外到内流量访问主机的策略。