如果您需要限制VPC內資源(例如ECS、ECI等)通過NAT Gateway訪問互連網的出方向流量時,您可以為NAT Gateway開啟NAT邊界防火牆,並配置NAT邊界存取控制策略,精細化管控私網資源到互連網的訪問。
VPC內的私網資源通過NAT Gateway直接存取互連網時,可能存在未經授權的訪問、資料泄露、惡意流量攻擊等風險。您可以利用Cloud Firewall的NAT邊界防火牆能力,通過指定訪問源、目的地址、連接埠、協議、應用等元素,只允許必要的流量通行,有效限制私網資源到互連網的未授權訪問。
為NAT Gateway開啟NAT邊界防火牆後,NAT邊界防火牆支援防護VPC內私網資源(包括同一VPC內的資源和跨VPC的資源)流向該NAT Gateway的所有出方向流量。
前提條件
已建立並開啟NAT邊界防火牆。具體步驟,請參見NAT邊界防火牆。
已購買足夠的策略授權規格數。您可以在頁面,查看策略的使用規格。關於策略佔用規格的計算方法,請參見存取控制策略概述。
如果剩餘可用的策略授權規格不足,您可以單擊规格升级,購買存取控制全域擴充數量。更多操作,請參見購買Cloud Firewall服務。
如果您需要同時添加多個對象作為訪問源地址或目的地址,您可以先添加地址簿。具體操作,請參見地址簿管理。
配置NAT邊界存取控制策略
在左侧导航栏,选择。
在NAT边界頁面,選擇待配置的NAT Gateway,單擊新增策略。
Cloud Firewall會自動同步您當前帳號下關聯的NAT Gateway,您可以單擊下拉框選擇待配置的NAT Gateway。
在创建策略-NAT边界面板,配置存取控制策略,然後單擊確定。
配置項
說明
源類型
網路流量的發起方。您需要選擇訪問源類型,並根據訪問源類型輸入發送流量的訪問源地址。
選擇IP類型時,需要輸入IP位址區段。位址區段需要使用標準掩碼格式,例如192.168.0.0/16。最多支援輸入2000個位址區段,多個位址區段之間使用半形逗號(,)分隔。
如果您同時輸入了多個IP位址區段,Cloud Firewall會自動將輸入的多個位址區段建立為地址簿,並在您儲存策略配置時提示您設定地址簿名稱。
選擇地址簿類型時,您需要提前建立地址簿。建立地址簿的具體操作,請參見地址簿管理。
訪問源
目的類型
網路流量的接收方。您需要選擇目的類型,並根據目的類型輸入接收流量的目的地址。
選擇IP類型時,需要輸入IP位址區段。位址區段需要使用標準掩碼格式,例如192.168.0.0/16。最多支援輸入2000個位址區段,多個位址區段之間使用半形逗號(,)分隔。
如果您同時輸入了多個IP位址區段,Cloud Firewall會自動將輸入的多個位址區段建立為地址簿,並在您儲存策略配置時提示您設定地址簿名稱。
選擇地址簿類型時,您需要提前建立地址簿。建立地址簿的具體操作,請參見地址簿管理。
選擇網域名稱類型時,您需要選擇網域名稱的識別模式。目前提供三種網域名稱的識別模式:
基于FQDN(报文提取Host/SNI):管理HTTP、HTTPS、SMTP、SMTPS、SSL五種協議流量時,建議使用此模式。
基于DNS动态解析:管理HTTP、HTTPS、SMTP、SMTPS、SSL以外的流量時,建議使用此模式。
重要此模式不支援泛網域名稱。
同时基于FQDN与DNS动态解析:管理HTTP、HTTPS、SMTP、SMTPS、SSL五種協議流量,但部分或全部流量中未攜帶 HOST/SNI欄位時,建議使用此模式。
重要此模式僅在開啟ACL引擎管理模式時生效。
選擇地區類型時,需要選擇目的地址所在的地區。可選中國地區或國際地區。
目的
協議類型
傳輸層協議類型,支援設定為:TCP、UDP、ICMP、ANY。不確定具體協議時可選擇ANY。
連接埠類型
設定目的連接埠類型和目的連接埠。
選擇連接埠類型時,需要輸入連接埠段。連接埠段中間通過正斜線(/)分隔,例如22/22、80/88。最多可添加2000個連接埠段,多個連接埠段之間使用半形逗號(,)隔開。
如果您同時輸入了多個連接埠段,Cloud Firewall會自動將輸入的多個連接埠段建立為地址簿,並在您儲存策略配置時提示您設定地址簿名稱。
地址簿:選擇地址簿類型時,您需要提前建立連接埠地址簿。建立地址簿的具體操作,請參見地址簿管理。
連接埠
應用
設定該訪問流量的應用類型。
網域名稱模式使用DNS動態解析時,您可以選擇所有應用。
網域名稱模式使用基於FQDN(報文提取Host/SNI)時,您只能選擇HTTP、HTTPS、SMTP、SMTPS或SSL。
網域名稱模式使用同時基於FQDN(報文提取Host/SNI)與DNS動態解析時,您只能選擇HTTP、HTTPS、SMTP、SMTPS、SSL。
動作
設定匹配成功的流量在該條策略的允許存取情況。
允許存取:允許存取該流量。
拒絕:攔截該流量,並且不會提供任何形式的通知資訊。
觀察:該模式下,預設允許存取流量。觀察一段時間後,您可根據需要調整為允許存取或拒絕。
描述
輸入該策略的備忘內容,便於您後續查看時能快速區分每個策略的目的。
優先順序
選擇該策略的優先順序,預設為最後,表示優先順序最低。
最前:指存取控制策略生效的優先順序最高,最先生效。
最後:指存取控制策略生效的優先順序最低,最後生效。
策略有效期間
設定該策略的有效時間段。策略僅在有效時間段內才可用於匹配流量。
啟用狀態
設定是否啟用策略。如果您建立策略時未啟用策略,可以在策略列表中開啟策略。
配置ACL引擎模式
配置存取控制策略後,NAT邊界防火牆的ACL引擎模式預設為宽松模式。該模式下,如果出現未識別應用或網域名稱的業務流量時,為了不影響業務,Cloud Firewall預設允許存取這部分流量。您可以根據實際業務需要切換為严格模式。
在頁面,單擊存取控制策略列表右上方ACL引擎管理。
在ACL引擎管理-NAT边界防火墙面板,在需要切換模式的NAT Gateway的引擎模式列,單擊修改。
在修改引擎模式對話方塊,選擇引擎模式,然後單擊確定。
strict 模式:開啟strict 模式後,針對未識別應用或網域名稱的流量將嚴格匹配所配置的策略,如果有配置拒絕策略,將拒絕未識別unknown流量業務訪問。
寬鬆模式:開啟寬鬆模式後,針對未識別unknown應用或網域名稱的業務流量將允許存取,以優先保證業務。
查看策略的命中情況
業務運行一段時間後,您可以在存取控制策略列表的叫用次數/最近命中时间列,查看存取控制策略的命中情況。
單擊叫用次數可跳轉到流量日誌頁面,查看流量日誌。關於如何查看流量日誌,請參見日誌審計。
相關操作
建立策略後,您可以在存取控制策略列表,對該策略編輯、刪除、複製或移動(移動即修改策略的優先順序)。優先順序修改後,策略原優先順序之後的策略優先順序都將相應依次遞減。
刪除策略後,該策略管控的流量將不受Cloud Firewall的存取控制。請謹慎刪除。
相關文檔
如果您需要管控私網資產到網站網域名稱的訪問流量,請參見只允許私網主機訪問指定網域名稱的策略配置教程。
存取控制策略的工作原理,請參見存取控制策略概述。
更多存取控制策略配置原則,請參見存取控制策略配置樣本。
查看及管理存取控制策略中的IP地址簿、連接埠地址簿、網域名稱地址簿等,請參見地址簿管理。
更多關於存取控制策略的配置和使用問題,請參見存取控制策略常見問題。