通过新建安全策略,用户可以为已创建的NAT边界防火墙配置一条或多条优先级不同的安全策略。可以设置安全策略优先级、控制的IP地址/地址段、通信协议、端口、授权策略等。安全策略生效逻辑请参见图-3。
在左侧导航栏中,选择[产品与服务/安全/云防火墙]菜单项,进入云防火墙页面。
选择[云防火墙/安全策略]菜单项,进入云防火墙安全策略页面。
选择“NAT边界防火墙”页签。
选择待创建安全策略的NAT边界防火墙实例。
单击<新建安全策略>按钮,弹出新建安全策略对话框。
配置安全策略的对应参数。参数详情请参见参数说明。
单击<确定>按钮,完成操作。
|
参数 |
说明 |
|
安全策略名称 |
按照界面提示规则,自定义安全策略名称。 |
|
安全策略描述 |
自定义安全策略描述信息。 |
|
源网络类别 |
设置访问流量来源网络的类型,可以选择VPC或者云外网络。源网络类别和目的网络类别不支持同时填写“云外网络”。 |
|
源网络 |
当源网络类别为VPC时该参数可见,默认为所选NAT边界防火墙中的VPC实例。 |
|
源地址 |
如果源网络类别为VPC,在VPC网段中选择IP地址或IP网段;如果源网络类别为云外网络,填写云外网络中的IP地址或IP网段。 |
|
源端口 |
填写源端口,可以为单端口或端口范围,取值为0~65535之间的整数。 |
|
目的网络类别 |
设置接收流量的网络的类型,可以选择VPC或者云外网络。源网络类别和目的网络类别不支持同时填写“云外网络”。 |
|
目的网络 |
当目标网络类别为VPC时,该参数可见,默认为所选NAT边界防火墙中的VPC实例。 |
|
目的地址 |
如果目的网络类别为VPC,在VPC网段中选择IP地址或IP网段;如果目的网络类别为云外网络,填写云外网络中的IP地址或IP网段。 |
|
协议类型 |
针对访问流量的协议类型进行访问控制,可选择TCP、UDP、ICMP或ANY。 • ANY表示任何协议。 • 若选择“TCP”或“UDP”,需要配置对应协议的端口,相应规则方向上、访问指定端口的该协议类型的报文受监控。 |
|
目的端口 |
针对访问流量要访问的端口进行访问控制。当通信协议类型为TCP或UDP时,需要输入该协议使用的端口,可以为单端口或端口范围,取值为1~65535之间的整数。 |
|
动作 |
即控制动作,选择允许或拒绝该流量通过NAT边界防火墙。 |
|
优先级 |
可以选择最前,或最后;最前的优先级最高,最后的优先级最低。配置完成后,可通过安全策略调序调整安全策略执行的顺序。 |
|
开关 |
可选择开启或关闭;关闭后该安全策略不生效,可在需要使用时开启生效。 |