创建安全策略

云边界防火墙支持内对外(VPC访问外部互联网)和外对内(外部互联网访问VPC内部网络)双向流量控制,控制范围可以到具体的子网、某网段或IP地址;用户可以在云边界防火墙中配置访问控制策略,实现这些功能。

使用限制和指导

图-1 安全策略生效逻辑示意图

 

在对VPC内部和外部网络之间的流量进行管控时,可以设置高优先级策略对可疑流量或恶意流量进行拒绝,再设置低优先级放通任意地址的流量;或者只对可信流量进行放行。

 

操作步骤

  1. 在左侧导航栏中,选择[产品与服务/网络/云边界防火墙]菜单项,进入安全策略列表页面。

  1. 单击<新建>按钮,弹出新建安全策略窗口。

  1. 配置参数,请参见参数说明

  1. 单击<确定>按钮,完成操作。

参数说明

参数

说明

可用区

选择安全策略执行的可用区。是被防护的VPC所在地域中的可用区。

安全策略名称

按照页面提示规则,自定义安全策略名称。

安全策略描述

自定义安全策略描述信息。

IP类型

支持IPv4地址和IPv6地址,请按需选择。

源网络类别

设置访问流量来源网络的类型,可以选择VPC或者云外网络。源网络类别和目的网络类别不支持同时填写“云外网络”。

VPC所属账号

支持选择同账号或异账号。

  • 如果源网络类别为云外网络,即建立VPC与云外网络的安全策略,此时默认VPC所属账号为同账号;

  • 选择异账号后,目的VPC所属账号只能为同账号,即不支持两个异账号VPC建立安全策略。

注意

该异账号所选VPC出入向流量将默认不通,只有匹配放行安全策略的流量才允许通过,请谨慎操作。

VPC所属账号ID

如果VPC所属账号为异账号,可填写源端VPC所属账号的ID

VPC ID

如果VPC所属账号为异账号,需填写源端VPCID

源网络

选择访问流量的来源VPC。当源网络类别为VPC时配置此参数。

源地址类型

  • 如果源网络类别为VPC

  • All:访问流量来自于整个源VPC网络。

  • 子网:访问流量来自于源VPC网络的一个子网,选择该参数后,需要配置选择子网。

  • 自定义IP:访问流量来自于源VPC网络中的一个IP地址。选择该参数后,需要配置自定义IP

  • 自定义网段:访问流量来自于源VPC网络中的一个IP网段。选择该参数后,需要配置自定义网段。

  • 如果源网络类别为云外网络

  • 自定义IP:访问流量来自于VPC外部网络中的一个IP地址。选择该参数后,需要配置自定义IP

  • 自定义网段:访问流量来自于VPC外部网络中的一个网段。选择该参数后,需要配置自定义网段。

选择子网

源地址类型为子网时,需配置此项。

选择当前VPC内的一个子网作为访问流量的来源。

自定义IP

源地址类型为自定义IP时,需配置此项。当前只支持输入一个自定义IP

  • 如果源网络类别为VPC,手动输入当前VPC中一个IP地址作为访问流量来源地址。

  • 如果源网络类别为云外网络,手动输入VPC外部网络的一个IP地址作为访问流量的来源地址。

自定义网段

源地址类型为自定义网段时,需配置此项。当前只支持输入一个自定义网段。

  • 如果源网络类别为VPC,手动输入当前VPC中的一个网段地址作为访问流量来源网段。

  • 如果源网络类别为云外网络,手动输入VPC外部网络的一个网段作为访问流量的来源网段。

目的网络类别

设置接收流量的网络的类型,可以选择VPC或者云外网络。源网络类别和目的网络类别不支持同时填写“云外网络”。

VPC所属账号

支持选择同账号或异账号。

  • 如果目的网络类别为云外网络,即建立VPC与云外网络的安全策略,此时默认VPC所属账号为同账号。

  • 选择源端VPC选择异账号后,目的VPC所属账号只能为同账号,即不支持两个异账号VPC建立安全策略。

注意

该异账号所选VPC出入向流量将默认不通,只有匹配放行安全策略的流量才允许通过,请谨慎操作。

VPC所属账号ID

如果VPC所属账号为异账号,可填写目的端VPC所属账号的ID

目的VPC ID

如果VPC所属账号为异账号,需填写目的端VPCID

目的网络

选择接收流量的VPC。当目标网络类别为VPC时配置此参数。

目的地址类型

  • 如果目的网络类别为VPC

  • All:整个目的VPC都可以接收流量。

  • 子网:目的VPC的一个子网可以接收流量,选择该参数后,需要配置选择子网。

  • 自定义IP:接收流量的是目的VPC中的一个IP地址。选择该参数后,需要配置自定义IP

  • 自定义网段:接收流量的是目的VPC中的一个IP网段。选择该参数后,需要配置自定义网段。

  • 如果目的网络类别为云外网络

  • 自定义IP:接收流量的是VPC外部网络的一个IP地址。选择该参数后,需要配置自定义IP

  • 自定义网段:接收流量的是VPC外部网络的一个网段。选择该参数后,需要配置自定义网段。

选择子网

目的地址类型为子网时,需配置此项。

选择当前目的VPC内的一个子网接收访问流量。

自定义IP

目的地址类型为自定义IP时,需配置此项。当前只支持输入一个自定义IP

  • 如果目的网络类别为VPC,手动输入当前目的VPC中的一个接收流量的IP地址。

  • 如果目的网络类别为云外网络,手动输入VPC外部网络中的一个接收流量的IP地址。

自定义网段

目的地址类型为自定义网段时,需配置此项。当前只支持输入一个自定义网段。

  • 如果目的网络类别为VPC,手动输入当前目的VPC中的一个接收流量的网段。

  • 如果目的网络类别为云外网络,手动输入VPC外部网络中的一个接收流量的网段。

通信协议

针对访问流量的协议类型进行访问控制。

  • ANY表示任何协议;

  • 若选择“指定TCP端口”或“指定UDP端口”,需要配置对应协议的端口,相应规则方向上、访问指定端口的该协议类型的报文受监控;

  • 若选择“所有TCP协议”、“所有UDP协议”、“所有ICMP协议”,相应规则方向上的该协议类型的报文都受监控;

  • 若选择HTTP80)等括号内含端口号的协议,协议使用的端口将被确定。

目的端口

针对访问流量要访问的端口进行访问控制。当通信协议类型为指定TCP端口、指定UDP端口时,需要输入该协议使用的端口,范围为1~65535

授权策略

即控制动作,选择允许或拒绝该流量通过云边界防火墙。

优先级

填写安全策略生效的优先级,不同的安全策略优先级不同。

  • 如果防护VPC之间的流量,优先级范围为1~100,数值越小,优先级越高。

  • 如果防护VPC与云外网络之间的流量,优先级范围为101~200,数值越小,优先级高。

项目

选择安全策略所属项目。