如果您需要精細化管控私網主機資產到互連網的流量訪問,您可以配置NAT邊界存取控制策略,攔截私網資產到互連網的未授權訪問,有效地降低核心業務資料泄露等風險。本文以配置僅允許私網主機訪問特定網站網域名稱為例,介紹如何設定NAT邊界存取控制策略。
情境樣本
本文以下圖情境為例,您的業務中有一台私網Elastic Compute Service(主機),通過公網NAT Gateway實現訪問互連網,其中,主機的私網IP為10.10.XX.XX。出於資產安全考慮,您需要配置僅允許主機訪問www.aliyun.com網站。
配置步驟
在左側導覽列,選擇。
在NAT边界頁面,選擇待配置的NAT Gateway,單擊新增策略。
Cloud Firewall會自動同步您當前帳號下關聯的NAT Gateway,您可以單擊下拉框選擇待配置的NAT Gateway。
在创建策略-NAT边界面板,然後配置一條允許主機訪問www.aliyun.com的高優先順序策略和一條拒絕主機訪問所有公網的低優先順序策略。
配置一條允許主機訪問www.aliyun.com的策略,關鍵配置項如下:
配置項
說明
樣本值
源類型
網路流量的發起方。您需要選擇訪問源類型,並根據訪問源類型輸入發送流量的訪問源地址。
IP
訪問源
輸入ECS的私網IP地址,本樣本為10.10.XX.XX/32
目的類型
網路流量的接收方。您需要選擇目的類型,並根據目的類型輸入接收流量的目的地址。
網域名稱,並選擇網域名稱識別類型為基于FQDN(报文提取Host/SNI)
目的
輸入允許主機訪問的網站網域名稱:www.aliyun.com
說明您也可以對該網域名稱進行DNS解析,擷取到解析後的IP地址。
協議類型
傳輸層協議類型,支援設定為:TCP、UDP、ICMP、ANY。不確定具體協議時可選擇ANY。
TCP
連接埠類型
設定目的連接埠類型和目的連接埠。
連接埠
連接埠
輸入0/0,表示所有連接埠
應用
設定該訪問流量的應用類型。
網域名稱模式使用DNS動態解析時,您可以選擇所有應用。
網域名稱模式使用基於FQDN(報文提取Host/SNI)時,您只能選擇HTTP、HTTPS、SMTP、SMTPS或SSL。
網域名稱模式使用同時基於FQDN(報文提取Host/SNI)與DNS動態解析時,您只能選擇HTTP、HTTPS、SMTP、SMTPS、SSL或ANY。
HTTPS
動作
設定匹配成功的流量在該條策略的允許存取情況。
允許存取:允許存取該流量。
拒絕:攔截該流量,並且不會提供任何形式的通知資訊。
觀察:該模式下,預設允許存取流量。觀察一段時間後,您可根據需要調整為允許存取或拒絕。
允許存取
優先順序
選擇該策略的優先順序,預設為最後,表示優先順序最低。
最前:指存取控制策略生效的優先順序最高,最先生效。
最後:指存取控制策略生效的優先順序最低,最後生效。
最前
策略有效期間
設定該策略的有效時間段。策略僅在有效時間段內才可用於匹配流量。
總是
啟用狀態
設定是否啟用策略。如果您建立策略時未啟用策略,可以在策略列表中開啟策略。
啟用
配置一條拒絕主機訪問所有公網IP的策略,關鍵配置項如下:
訪問源:10.10.X.X/32
目的:0.0.0.0/0,表示所有主機的IP地址。
協議類型:ANY
連接埠:0/0,表示主機的所有連接埠。
應用:ANY
動作:拒絕
優先順序:最後
配置完成後,請確認允許主機訪問www.aliyun.com的策略優先順序高於拒絕主機訪問所有公網的策略。
後續步驟
存取控制策略配置完成後,預設情況下策略立即生效。您可以在存取控制策略列表的叫用次數/最近命中时间列,查看存取控制策略的命中情況。
叫用次數/最近命中时间列有顯示叫用次數及時間,表示已有訪問流量命中該策略。您可以單擊叫用次數,跳轉到流量日誌頁面查看詳細資料。具體操作,請參見日誌審計。
相關文檔
NAT邊界存取控制策略的詳細配置指導,請參見配置NAT邊界存取控制策略。
更多存取控制策略配置原則,請參見存取控制策略配置樣本。
更多關於存取控制策略的配置和使用問題,請參見存取控制策略常見問題。