访问控制策略优先级如何判断?

访问控制策略优先级决定了策略生效的顺序。

  • 互联网边界防火墙(内-外流量或外-内流量),优先级数字越小优先级越高,越大优先级越低。

    访问流量进入云防火墙后会依次通过优先级1~8的策略。如果符合放行策略则对流量进行放行,如果触发拒绝策略则拒绝流量通过云防火墙。互联网边界防火墙中策略的优先级是唯一的。

    详细操作说明参见设置和修改访问控制策略的优先级

  • 主机边界防火墙(内-内流量)优先级和安全组一致,优先级数字小的优先级越高,数字越大优先级越低。

    主机防火墙优先级范围为1~100,优先级可以重复。优先级相同时,动作设置为拒绝的策略优先生效。

主机边界防火墙策略组规格达到上限,该怎么办?

默认情况下,您最多可以创建100个策略组和100条策略,即在ECS安全组创建并同步到云防火墙的策略数量和在云防火墙主机边界防火墙创建的策略数量加起来不超过100条。如果当前策略数量上限无法满足您的需求,建议您及时清理无需使用的策略,或提交工单申请阿里云技术支持。

达到策略组上限

普通策略组和企业策略组有什么区别?

主机边界防火墙(ECS实例间)访问控制的策略组分为普通策略组和企业策略组。
  • 普通策略组对应于ECS的普通安全组,是一种虚拟防火墙,具备状态检测和数据包过滤功能,用于在云端划分安全域。您可以通过配置策略组策略,允许或拒绝策略组内的ECS实例的入流量、出流量。
  • 企业策略组对应于ECS的企业安全组,是一种全新的策略组类型,相比原有的普通策略组,大幅提升了组内容纳实例数量,不再限制组内私网IP数量,规则配置方式更加简洁便于维护,适用于对整体规模和运维效率有较高需求的企业级用户。
下表描述了普通策略组和企业策略组的功能差异。
功能 普通策略组 企业策略组
支持专有网络VPC
支持设置规则优先级
支持授权给其他策略组
支持手动设置允许访问的策略
支持手动设置拒绝访问的策略 否,企业策略组默认拒绝任何访问请求
能容纳的私网IP地址数量 2000 65536
默认支持同一个策略组内ECS实例互通 否,需要您单独添加策略组策略

安全组放通时单击下发按钮返回失败的提示

表明该IP所关联的安全组不支持默认放通,原因如下:
  • 企业安全组不支持安全组放通功能,并且您如果在同一个VPC网络中存在企业安全组,则该VPC所属的安全组也不支持默认放通功能。
  • 目前,安全组放通只支持ECS Public IP和ECS EIP这两类资产的互联网方向(外到内)流量,公网SLB等不支持开启。
  • 为更好地保护您的资产安全,对于未开启云防火墙开关的IP,不建议执行默认放通。对于已放通的IP,不建议关闭云防火墙的防护开关,否则会存在公网IP暴露的风险。

安全组默认放通策略下发状态,提示“配置冲突不可调整”

安全组默认放通策略为配置冲突不可调整时,说明相同VPC下的某个安全组的规则占用了可调整的优先级。

ECS所属VPC中,其他ECS有安全组与云防火墙要调整的优先级冲突时,需要确保该VPC下所有ECS安全组优先级不存在冲突的情况下,才可使用一键下发的功能。

一键下发功能不可使用(置灰)

原因是存在还未解决冲突的安全组。对该IP所在的ECS实例关联的安全组中,只要存在配置冲突,都必须先解决冲突后才能下发默认放通策略。相关内容请参考安全组默认放通

一键下发失败(报错)

待放通安全组规则规格超出限制,需要手动调整规则。

默认情况下,您最多可以创建100个策略组和100条策略,即在ECS安全组创建并同步到云防火墙的策略数量和在云防火墙主机边界防火墙创建的策略数量加起来不超过100条。如果当前策略数量上限无法满足您的需求,建议您及时清理无需使用的策略,或提交工单申请阿里云技术支持。