文档

VPC边界

更新时间:
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

VPC边界防火墙可用于检测和控制通过云企业网或者高速通道连接的网络实例间的通信流量,默认放行所有流量。您可以通过访问控制策略对实例间的流量进行管控,阻断可疑流量或恶意流量,放行可信流量。本文介绍如何配置VPC边界防火墙的访问控制策略。

功能介绍

VPC边界防火墙帮助您检测和管控通过云企业网企业版转发路由器、基础版转发路由器以及高速通道打通的专有网络VPC之间、VPC和本地数据中心之间的东西向流量,实现云上跨VPC之间、VPC与本地数据中心(VBR)、VPC到三方云(VBR)、VPC与VPN之间内网访问流量安全。

防护原理图

本示意图以云防火墙对业务VPC1访问业务VPC2的流量控制为例,业务VPC2访问业务VPC1的流量与这个原理相同。

image

防护的业务流量

具体可防护的业务流量,请参见VPC边界防火墙概述

前提条件

配置VPC边界访问控制策略

在对两个VPC之间的流量进行管控时,可以对不可信或业务不需要的流量配置拒绝访问策略,再放行其他流量(黑名单模式);或者对可信或业务需要的流量配置放行访问策略,再拒绝其他流量(白名单模式)。关于VPC边界访问控制策略的配置示例,请参见访问控制策略配置示例

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择访问控制 > VPC边界

  3. VPC边界页面,切换到你需要配置策略的业务实例。

    image

  4. 单击创建策略,参考以下表格,配置策略详情,然后单击确定

    配置项

    说明

    源类型

    网络连接的发起方。您需要选择访问源类型,并根据访问源类型输入发送流量的访问源地址。

    • 选择IP类型时,需要输入IP地址段。地址段需要使用标准掩码格式,例如192.168.0.0/16。最多支持输入2000个地址段,多个地址段之间使用半角逗号(,)分隔。

      如果您同时输入了多个IP地址段,云防火墙会自动将输入的多个地址段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。

    • 选择地址簿类型时,您需要提前创建地址簿。创建地址簿的具体操作,请参见地址簿管理

    访问源

    目的类型

    网络流量的接收方。您需要选择目的类型,并根据目的类型输入接收流量的目的地址。

    • 选择IP类型时,需要输入IP地址段。地址段需要使用标准掩码格式,例如192.168.0.0/16。最多支持输入2000个地址段,多个地址段之间使用半角逗号(,)分隔。

      如果您同时输入了多个IP地址段,云防火墙会自动将输入的多个地址段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。

    • 选择地址簿类型时,可以选择已创建地址簿(IPv4地址簿或域名地址簿)。支持选择多个地址簿。

      如果您未创建地址簿,可以单击新建地址簿,直接创建IPv4地址簿或域名地址簿用于本次策略配置。关于地址簿的相关说明,请参见地址簿管理

    • 选择域名类型时,需要输入目的域名地址,支持泛域名(例如*.aliyun.com)。

    目的

    协议类型

    传输层协议类型,支持设置为:TCPUDPICMPANY。不确定具体协议时可选择ANY

    端口类型

    设置目的端口类型和目的端口。

    • 选择端口类型时,需要输入端口段。端口段中间通过正斜线(/)分隔,例如22/22、80/88。最多可添加2000个端口段,多个端口段之间使用半角逗号(,)隔开。

      如果您同时输入了多个端口段,云防火墙会自动将输入的多个端口段创建为地址簿,并在您保存策略配置时提示您设置地址簿名称。

    • 地址簿:选择地址簿类型时,您需要提前创建端口地址簿。创建地址簿的具体操作,请参见地址簿管理

    端口

    应用

    设置访问流量的应用类型。支持选择多个应用类型。

    • 协议类型选择TCP时,应用类型支持选择为HTTPHTTPSSMTPSMTPSSSLFTP等。

    • 协议类型选择UDPICMPANY时,应用类型仅允许选择为ANY

    • 目的类型选择域名地址簿或域名时,应用类型仅允许选择为HTTPHTTPSSMTPSMTPS

    说明

    识别应用依赖应用报文特征(协议识别不依据端口),应用识别失败时,该会话流量会被放行。如果您想拦截未知应用类型的流量,建议您开启互联网边界防火墙严格模式。更多信息,请参见互联网边界防火墙-严格模式

    动作

    设置匹配成功的流量在该条策略的放行情况。

    • 放行:放行该流量。

    • 拒绝:拦截该流量,并且不会提供任何形式的通知信息。

    • 观察:该模式下,默认放行流量。观察一段时间后,您可根据需要调整为放行拒绝

    描述

    输入该策略的备注内容,便于您后续查看时能快速区分每个策略的目的。

    优先级

    选择该策略的优先级,默认为最后,表示优先级最低。

    • 最前:指访问控制策略生效的优先级最高,最先生效。

    • 最后:指访问控制策略生效的优先级最低,最后生效。

    策略有效期

    设置该策略的有效时间段。策略仅在有效时间段内才可用于匹配流量。

后续步骤

业务运行一段时间后,您可以在访问控制策略列表查看策略的命中次数。单击命中次数可跳转到流量日志页面,查看VPC边界的流量日志。关于如何查看流量日志,请参见日志审计

相关操作

修改策略优先级

  1. 访问控制 > VPC边界页面,找到目标策略,然后在操作列单击移动

  2. 根据业务需求,设置策略的优先级,然后单击确定

    访问控制策略的优先级可设置为1~N,其中N为当前已配置的访问控制策略数量。数值越小,优先级越高。优先级修改后,策略原优先级之后的策略优先级都将相应依次递减。

查看策略的命中情况

访问控制策略配置完成后,默认情况下策略立即生效。您可以在访问控制策略列表的命中次数/最近命中时间列,查看访问控制策略的命中情况。

image

命中次数/最近命中时间列有显示命中次数及时间,表示已有访问流量命中该策略。您可以单击命中次数,跳转到流量日志页面查看详细数据。具体操作,请参见日志审计

下载策略列表

  1. 访问控制 > VPC边界页面,单击策略列表的右上角image.png图标。

  2. 等待策略打包完成后,在VPC边界页面右上角单击下载任务管理

  3. 任务列表面板,选择任务类型,找到需要下载的任务,然后在操作列单击下载

删除策略

警告

删除策略后,该策略管控的流量将不受云防火墙的访问控制。请谨慎删除。

如果您不再需要某些互联网边界访问控制策略,可以进入访问控制 > VPC边界页面,在目标策略的操作列,单击image.png图标后选择删除,删除策略。

相关文档

  • 本页导读 (1)
文档反馈