创建安全策略
VPC边界防火墙支持内对外(VPC访问外部互联网)和外对内(外部互联网访问VPC内部网络)双向流量控制,控制范围可以到具体的子网、某网段或IP地址;用户可以在VPC边界防火墙中配置访问控制策略,实现这些功能。
前提条件
如果要建立安全策略允许放行公网和VPC之间的通信流量,请提前为弹性云主机/裸金属/负载均衡绑定弹性公网IP,或为VPC绑定NAT网关(需要使用弹性公网IP),并配置SNAT/DNAT规则。
使用限制和指导
一个处于对等连接中的VPC无法加入VPC边界防火墙。
如果流量没有匹配任何安全策略,VPC边界防火墙将会拒绝流量;如果VPC配置了VPC边界防火墙,请用户添加安全策略来放通所需数据流量。
策略优先级是指访问控制策略生效的顺序;在多条安全策略同时存在的VPC边界防火墙中,数据流量是按照优先级顺序依次与多条策略进行匹配,数字越小,优先级越高。对于配置了VPC边界防火墙的VPC,安全策略将按图-1逻辑来控制该VPC的出入流量。
在创建安全策略后若您发现策略优先级与实际业务不匹配,可以通过修改安全策略功能修改优先级顺序。
|
|
在对VPC内部和外部网络之间的流量进行管控时,可以设置高优先级策略对可疑流量或恶意流量进行拒绝,再设置低优先级放通任意地址的流量;或者只对可信流量进行放行。 |
操作步骤
在左侧导航栏中,选择[产品与服务/网络/虚拟专有云]菜单项,进入虚拟专有云列表页面。
在左侧网络控制台导航树中,选择[VPC边界防火墙/安全策略]菜单项,进入安全策略列表页面。
单击<新建>按钮,弹出新建安全策略窗口。
配置参数,请参见参数说明。
单击<确定>按钮,完成操作。
参数说明
|
参数 |
说明 |
|
可用区 |
选择安全策略执行的可用区。是被防护的VPC所在地域中的可用区。 |
|
优先级 |
填写安全策略的优先级。优先级范围为1~100,数值越小,优先级高。不同的安全策略优先级不同。 |
|
源网络类别 |
设置访问流量来源网络的类型,可以选择VPC或者云外网络。源网络类别和目的网络类别不支持同时填写“云外网络”。 |
|
源网络 |
选择访问流量的来源VPC。当源网络类别为VPC时配置此参数。 |
|
源地址类型 |
|
|
选择子网 |
源地址类型为子网时,需配置此项。 选择当前VPC内的一个子网作为访问流量的来源。 |
|
自定义IP |
源地址类型为自定义IP时,需配置此项。当前只支持输入一个自定义IP。
|
|
自定义网段 |
源地址类型为自定义网段时,需配置此项。当前只支持输入一个自定义网段。
|
|
目的网络类别 |
设置接收流量的网络的类型,可以选择VPC或者云外网络。源网络类别和目的网络类别不支持同时填写“云外网络”。 |
|
目的网络 |
选择接收流量的VPC。当目标网络类别为VPC时配置此参数。 |
|
目的地址类型 |
|
|
选择子网 |
目的地址类型为子网时,需配置此项。 选择当前目的VPC内的一个子网接收访问流量。 |
|
自定义IP |
目的地址类型为自定义IP时,需配置此项。当前只支持输入一个自定义IP。
|
|
自定义网段 |
目的地址类型为自定义网段时,需配置此项。当前只支持输入一个自定义网段。
|
|
通信协议 |
针对访问流量的协议类型进行访问控制。
|
|
目的端口 |
针对访问流量要访问的端口进行访问控制。当通信协议类型为指定TCP端口、指定UDP端口时,需要输入该协议使用的端口,范围为1~65535。 |
|
授权策略 |
即控制动作,选择允许或拒绝该流量通过VPC边界防火墙。 |