凯发k8国际娱乐官网入口-k8凯发> 云防火墙 cfw> 用户指南> > 添加防护规则
更新时间:2023-12-21 gmt 08:00

添加防护规则-凯发k8国际娱乐官网入口

配置合适的访问控制策略能有效的帮助您对内部服务器与外网之间的流量进行精细化管控,防止内部威胁扩散,增加安全战略纵深。

eip开启防护后,访问控制策略默认状态为放行,如您希望仅放行几条eip,建议您添加一条优先级最低的阻断全部流量的防护规则。

如果ip为web应用防火墙(waf)的回源ip,建议配置放行的防护规则或白名单,请谨慎配置阻断的防护规则,否则可能会影响您的业务。

前提条件

已进行同步资产操作并开启弹性公网ip防护,请参见开启弹性公网ip防护

规格限制

仅专业版支持vpc边界防护和nat防护。

约束条件

  • 最多添加20000条防护规则。
  • 防护域名时不支持添加中文域名格式。
  • 仅入方向规则(“方向”配置为“外-内”)的“源”地址支持配置“预定义地址组”
  • 开启nat64防护后,使用ipv6访问时,请注意将192.19.0.0/16的网段放通。因为nat64会将源ip转换成198.19.0.0/16的网段进行acl访问控制

互联网边界防护规则

  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航树中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的概览页面,如图1所示。
    图1 概览
  4. (可选)当前账号下仅存在单个防火墙实例时,自动进入防火墙详情页面,存在多个防火墙实例时,单击防火墙列表“操作”列的“查看”,进入防火墙详情页面。
  5. 在左侧导航栏中,选择访问控制 > 访问策略管理,进入“访问策略管理”页面。
  6. 添加新的防护规则。
    单击“添加”按钮,在弹出的“添加防护规则”中,填写新的防护信息,填写规则请参照表 添加防护规则-互联网边界
    表1 添加防护规则-互联网边界

    参数名称

    参数说明

    取值样例

    规则类型
    选择安全策略的防护类型。
    • eip规则: 防护eip的流量,仅支持配置公网ip;
    • nat规则: 防护nat的流量,可以配置私网ip。
    说明:

    nat规则需满足:

    • “专业版”防火墙,升级版本请参见。
    • 已配置vpc边界防火墙,请参见。

    eip防护

    名称

    自定义安全策略规则的名称。

    test

    方向
    “防护规则”选择eip规则时,需要选择流量的方向:
    • 外-内:外网访问内部服务器。
    • 内-外:内部服务器访问外网。
    注意:

    存量“旁路版”防火墙配置“源”“目的”均为any时,防火墙将对双向流量进行防护,“方向”配置为“外-内”“内-外”效果相同。

    外-内

    设置访问流量中发送数据的地址参数。
    • ip地址:支持设置单个ip地址、多个连续ip地址、地址段。
      • 单个ip地址,如:192.168.10.5
      • 多个连续ip地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
      • 地址段,使用"/"隔开掩码,如:192.168.2.0/24
    • ip地址组:支持多个ip地址的集合,添加自定义ip地址组请参见添加ip地址组,预定义地址组请参见。
      说明:

      “方向”配置为“外-内”时,“源”地址支持配置“预定义地址组”

    • 地域:“方向”选择“外-内”时,支持地理位置防护,通过指定大洲、国家、地区配置防护规则。
    • any:任意源地址。

    “ip地址”“192.168.10.5”

    目的
    设置访问流量中的接收数据的地址参数。
    • ip地址:支持设置单个ip地址、多个连续ip地址、地址段。
      • 单个ip地址,如:192.168.10.5
      • 多个连续ip地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
      • 地址段,使用"/"隔开掩码,如:192.168.2.0/24
    • ip地址组:支持多个ip地址的集合,添加自定义ip地址组请参见添加自定义ip地址组
    • 地域:“方向”选择“内-外”时,支持地理位置防护,通过指定大洲、国家、地区配置防护规则。
    • 域名:“方向”选择“内-外”时,支持多级别单域名(例如,一级域名example.com,二级域名www.example.com等)和泛域名(例如,*.example.com)。
      说明:
      • 若域名为单个域名,输入后需单击右侧“测试”,以测试域名有效性,并进行dns解析,请参见(目前单个域名解析出的ip地址上限个数为600个)。
      • 若域名为泛域名,无需dns解析,仅支持添加http/https的应用类型。
    • 域名组:“方向”选择“内-外”时,支持多个域名的集合,添加域名组请参见。
      说明:

      当您需要防护域名时,建议您优先选择“域名组”

    • any:任意目的地址。

    any

    服务
    设置访问流量的“协议类型”“端口号”
    • 服务:设置协议类型、源端口和目的端口。
      • 协议类型:支持选择tcp、udp、icmp。
      • 源/目的端口:“协议类型”选择“tcp”“udp”时,需要设置端口号。
      说明:
      • 如您需设置该ip地址的全部端口,可配置“端口”“1-65535”
      • 如您需设置某个端口,可填写为单个端口。例如设置22端口的访问,则配置“端口”“22”
      • 如您需设置某个范围的端口,可填写为连续端口组,中间使用“-”隔开。例如设置80-443端口的访问,则配置“端口”“80-443”
    • 服务组:支持多个服务(协议、源端口、目的端口)的集合,添加自定义服务组请参见添加服务组,预定义服务组请参见。
    • any:任意协议类型和端口号。

    “服务”

    “协议类型”:tcp

    “源端口”:80

    “目的端口”:80-443

    动作

    设置流量经过防火墙时的处理动作。

    • 放行:防火墙允许此流量转发。
    • 阻断:防火墙禁止此流量转发。

    放行

    配置长连接
    当前防护规则仅配置一个“服务”“协议类型”选择“tcp”“udp”时,可配置业务会话老化时间。
    • 是:设置长连接时长。
    • 否:保留默认时长,各协议规则默认支持的连接时长如下:
      • tcp协议:1800s。
      • udp协议:60s。
    说明:

    最大支持100条规则设置长连接。

    长连接时长

    “配置长连接”选择“是”时,需要配置此参数。

    设置长连接时长。输入“时”“分”“秒”

    说明:

    支持时长设置为1秒~1000天。

    60时60分60秒

    标签

    (可选)用于标识规则,可通过标签实现对安全策略的分类和搜索。

    -

    策略优先级

    设置该策略的优先级:

    • 置顶:表示将该策略的优先级设置为最高。
    • 移动至选中规则后:表示将该策略优先级设置到某一规则后。
      说明:

      设置后,优先级数字越小,策略的优先级越高。

    置顶

    启用状态

    设置该策略是否立即启用。

    :表示立即启用,规则生效;

    :表示立即关闭,规则不生效。

    描述

    (可选)标识该规则的使用场景和用途,以便后续运维时快速区分不同规则的作用。

    -
  7. 单击“确认”,完成配置安全策略。

    eip开启防护后,访问控制策略默认状态为放行,如您希望仅放行几条eip,建议您添加一条优先级最低的阻断全部流量的防护规则。

vpc边界防护规则

  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航树中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的概览页面,如图2所示。
    图2 概览
  4. (可选)当前账号下仅存在单个防火墙实例时,自动进入防火墙详情页面,存在多个防火墙实例时,单击防火墙列表“操作”列的“查看”,进入防火墙详情页面。
  5. 在左侧导航栏中,选择访问控制 > 访问策略管理,选择“vpc边界”页签,进入vpc边界管理页面。
  1. 添加新的防护规则。
    单击“添加”按钮,在弹出的“添加防护规则”中,填写新的防护信息,填写规则请参照表 添加防护规则
    表2 添加防护规则

    参数名称

    参数说明

    取值样例

    名称

    自定义安全策略规则的名称。

    test

    设置访问流量中发送数据的地址参数。
    • ip地址:支持设置单个ip地址、多个连续ip地址、地址段。
      • 单个ip地址,如:192.168.10.5
      • 多个连续ip地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
      • 地址段,使用"/"隔开掩码,如:192.168.2.0/24
    • ip地址组:支持多个ip地址的集合,添加ip地址组请参见添加ip地址组
    • any:任意源地址。

    “ip地址”“192.168.10.5”

    目的
    设置访问流量中的接收数据的地址参数。
    • ip地址:支持设置单个ip地址、多个连续ip地址、地址段。
      • 单个ip地址,如:192.168.10.5
      • 多个连续ip地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
      • 地址段,使用"/"隔开掩码,如:192.168.2.0/24
    • ip地址组:支持多个ip地址的集合,添加ip地址组请参见添加ip地址组
    • any:任意目的地址。

    any

    服务
    设置访问流量的“协议类型”“端口号”
    • 服务:设置协议类型、源端口和目的端口。
      • 协议类型:支持选择tcp、udp、icmp。
      • 源/目的端口:“协议类型”选择“tcp”“udp”时,需要设置端口号。
      说明:
      • 如您需设置该ip地址的全部端口,可配置“端口”“1-65535”
      • 如您需设置某个端口,可填写为单个端口。例如设置22端口的访问,则配置“端口”“22”
      • 如您需设置某个范围的端口,可填写为连续端口组,中间使用“-”隔开。例如设置80-443端口的访问,则配置“端口”“80-443”
    • 服务组:支持多个服务(协议、源端口、目的端口)的集合,添加自定义服务组请参见添加服务组,预定义服务组请参见。
    • any:任意协议类型和端口号。

    “服务”

    “协议类型”:tcp

    “源端口”:80

    “目的端口”:80-443

    动作

    设置流量经过防火墙时的处理动作。

    • 放行:防火墙允许此流量转发。
    • 阻断:防火墙禁止此流量转发。

    放行

    配置长连接
    当前防护规则仅配置一个“服务”“协议类型”选择“tcp”“udp”时,可配置业务会话老化时间。
    • 是:设置长连接时长。
    • 否:保留默认时长,各协议规则默认支持的连接时长如下:
      • tcp协议:1800s。
      • udp协议:60s。
    说明:

    最大支持100条规则设置长连接。

    长连接时长

    “配置长连接”选择“是”时,需要配置此参数。

    设置长连接时长。输入“时”“分”“秒”

    说明:

    支持时长设置为1秒~1000天。

    60时60分60秒

    标签

    (可选)用于标识规则,可通过标签实现对安全策略的分类和搜索。

    -

    策略优先级

    设置该策略的优先级:

    • 置顶:表示将该策略的优先级设置为最高。
    • 移动至选中规则后:表示将该策略优先级设置到某一规则后。
      说明:

      设置后,优先级数字越小,策略的优先级越高。

    置顶

    启用状态

    设置该策略是否立即启用。

    :表示立即启用,规则生效;

    :表示立即关闭,规则不生效。

    描述

    (可选)标识该规则的使用场景和用途,以便后续运维时快速区分不同规则的作用。

    -
  2. 单击“确认”,完成配置安全策略。

    eip开启防护后,访问控制策略默认状态为放行,如您希望仅放行几条eip,建议您添加一条优先级最低的阻断全部流量的防护规则。

配置示例-单独放行入方向中指定ip的访问流量

配置两条防护规则,一条拦截所有流量,如图 拦截所有流量所示,优先级置于最低,一条单独放行指定ip的流量访问,如图 放行指定ip所示,优先级设置最高,其余参数可根据您的部署进行填写。
图3 拦截所有流量
图4 放行指定ip

配置示例-拦截某一地区的访问流量

假如您需要拦截所有来源“北京”地区的访问流量,可以参照以下参数设置防护规则。
图5 拦截北京地区的访问流量

配置示例-nat防护

假如您的私网ip为“10.1.1.2”, 通过nat网关访问的外部域名为“www.example.com”,您可以参照以下参数配置nat防护,其余参数可根据您的部署进行填写:

图6 添加nat防护规则
父主题:
分享:
网站地图