云防火墙支持对主机边界防火墙的访问控制,即控制ECS实例间的入流量和出流量。您可以在云防火墙配置访问控制策略,限制ECS实例间的未授权访问。主机边界防火墙的访问控制策略经发布后,会自动同步到ECS安全组并生效。

背景信息

相比于为ECS实例创建安全组规则,通过主机边界防火墙定义访问控制策略具有以下优势:
  • 支持策略的批量发布。
  • 提供初始的策略组模板,便于设置放行、拒绝所有流量。
  • 同应用组配合,自动创建安全组。

关于主机边界防火墙和ECS安全组的区别,请参见云防火墙和安全组有什么差异?

配置主机边界防火墙访问控制策略时,您必须先创建策略组(策略组包含默认策略),然后在该策略组中配置精细的入方向或出方向访问控制策略。完成策略组和策略配置后,必须发布策略组,才能将策略组策略同步到ECS安全组并生效。完整的使用流程如下:
  1. 新建策略组
  2. 新建策略组策略
  3. 发布策略组策略

默认情况下,您最多可以创建100个策略组和100条策略,即在ECS安全组创建并同步到云防火墙的策略数量和在云防火墙主机边界防火墙创建的策略数量加起来不超过100条。如果当前策略数量上限无法满足您的需求,建议您及时清理无需使用的策略或提交工单,申请阿里云技术支持。

策略组类型

策略组分为普通策略组和企业策略组。下表列举了两种策略组类型的差异。

策略组类型 策略组策略类型 策略组策略优先级 入方向访问策略 出方向访问策略 适用场景
普通策略组 默认策略组策略 由策略组模板决定 由策略组模板(放行或拒绝)决定 由策略组模板(放行或拒绝)决定 对网络精细化控制要求较高、网络连接数适中的用户场景
手动添加的策略组策略 在1~100之间取值,数值越低,优先级越高 支持允许和拒绝策略,可按需添加 支持允许和拒绝策略,可按需添加
企业策略组 默认策略组策略 取值范围:1,该值不支持修改 由策略组模板(仅放行)决定 由策略组模板(仅放行)决定 对运维效率有更高需求的用户场景
手动添加的策略组策略 支持允许策略,可按需添加 支持允许策略,可按需添加

新建策略组

  1. 登录云防火墙控制台
  2. 在左侧导航栏单击安全策略 > 访问控制
  3. 访问控制页面单击主机边界防火墙页签,并单击右上角的新增策略组
  4. 新建策略组对话框配置策略组参数。新建策略组
    参数 描述
    策略组类型 选择策略组的类型:
    • 普通策略组:适用于对网络精细化控制要求较高、网络连接数适中的用户场景。
    • 企业策略组:适用于对运维效率有更高需求的用户场景。
    策略组名称 按页面提示要求设置策略组的名称。

    建议使用方便识别的名称,便于后期管理。

    所属VPC 所属VPC列表选择应用该策略组的专有网络VPC。
    说明 一个策略组只允许隶属于一个VPC。
    实例ID 实例ID列表选择应用该策略组的一个或多个ECS实例。
    说明 实例ID列表只包含所属VPC下的ECS实例。
    描述 简短地描述策略组,方便后期管理。
    模板 模板列表选择要应用的模板类型:
    • default-accept-login:默认放行TCP 22、TCP 3389协议入方向访问和所有出方向访问。
    • default-accept-all:默认放行所有入方向和出方向访问。
    • default-drop-all:默认拒绝所有入方向和出方向访问。
      说明 企业策略组不支持default-drop-all选项。
  5. 单击提交
    策略组创建完成后,您可以在主机边界防火墙的策略组列表中查看新建的策略组,并根据需要对策略组执行以下操作:
    • 配置策略:为策略组配置精细的访问控制策略。
    • 发布:将策略组的访问控制策略同步到ECS实例的安全组。
    • 编辑:修改应用当前策略组的ECS实例和策略组的描述。
    • 删除:删除策略组。
      警告 删除策略组后,策略组中的主机访问控制策略也将被自动删除并失效,请谨慎操作。
      如果您希望清理不再需要的策略组,则可以将策略组来源设置为自定义,筛选出所有手动创建的策略组,再去判断策略组是否需要保留。筛选自定义策略组

新建策略组策略

  1. 登录云防火墙控制台
  2. 在左侧导航栏单击安全策略 > 访问控制
  3. 访问控制页面单击主机边界防火墙页签,定位到要设置的策略组,单击其操作列下的配置策略
  4. 策略配置页面单击右上角的新增策略
  5. 新建策略组策略对话框配置策略参数。配置策略项
    参数 描述
    网卡类型 默认为内网且不可以修改,表示内网间的访问控制。
    策略方向 选择策略方向:
    • 入方向:指内网中的其他ECS实例访问策略组ECS实例。
    • 出方向:指策略组ECS实例访问内网中的其他ECS实例。
    策略类型 选择策略类型:
    • 允许:放行相应的访问流量。
    • 拒绝:直接丢弃数据包,不会返回任何回应信息。如果两个策略其他配置都相同只有策略类型不同,则拒绝策略生效,允许策略不生效。
      说明 企业策略组不支持拒绝选项。
    协议类型 协议类型列表选择访问流量的协议类型:
    • TCP
    • UDP
    • ICMP
    • ANY:表示任何协议类型。不确定访问流量的类型时可选择ANY。
    端口范围 输入访问流量使用的端口地址范围。例如:22/22。
    优先级 输入策略生效的优先级。使用整数表示,取值范围:1~100。优先级数值越小,优先级越高。

    优先级数值可重复。策略优先级相同时,拒绝类型的策略优先生效。

    说明 企业策略组的策略优先级固定为1且不可修改,表示优先级最高。
    源类型源对象 针对入方向策略,选择访问源地址的类型,并根据选择的源类型设置源对象。
    可选的源类型:
    • 地址段访问

      选择该类型后,需要手动输入访问源地址段。仅支持设置单个地址段。

    • 策略组

      选择该类型后,需要从策略组列表中选择一个策略组,表示设置策略组ECS实例作为源对象。

      说明 企业策略组不支持策略组选项。
    目的选择 针对入方向策略,选择访问流量的目的地址:
    • 全部ECS:表示阿里云账号下所有ECS实例。
    • 地址段访问:选择该类型后,需要输入目的IP/ICDR地址段。
    源选择 针对出方向策略,选择访问源:
    • 地址段访问:选择该类型后,需要输入访问源IP/CIDR地址。
    • 全部ECS:表示阿里云账号下所有ECS实例。
    目的类型目的对象 针对出方向策略,选择目的地址的类型并根据选择的目的类型设置目的对象。
    可选的目的类型:
    • 地址段访问

      选择该类型后,需要手动输入访问目的地址段。仅支持设置单个地址段。

    • 策略组

      选择该类型后,需要从策略组列表中选择一个策略组,表示设置策略组ECS实例作为目的对象。

      说明 企业策略组不支持策略组选项。
    描述 简短地描述策略,方便后期管理。
  6. 单击提交
    策略创建完成后,您可以在策略列表中查看新建的策略,并根据需要编辑删除已创建的策略。
    警告 删除策略后,策略中对应流量的访问控制将失效,请谨慎删除。删除策略后,策略记录仍会保留在策略列表中,但您无法再对其执行任何操作。

发布策略组策略

  1. 登录云防火墙控制台
  2. 在左侧导航栏单击安全策略 > 访问控制
  3. 访问控制页面单击主机边界防火墙页签,定位到需要发布的策略组,单击其操作列下的发布发布策略
  4. 策略发布对话框确认变更策略(即策略的变更内容),根据需要设置变更备注,并单击确定发布策略组
    策略发布后才会同步到ECS安全组并生效。您可以在ECS控制台的安全组 > 安全组列表页面,查看云防火墙同步到安全组中的访问控制策略。策略的名称默认为Cloud_Firewall_Security_GroupECS安全组列表

主机边界防火墙配置视频教程