設定Cloud Firewall存取控制策略規則實現流量攔截 - Cloud Firewall

開啟防火牆開關後，如果您未配置存取控制策略，Cloud Firewall在存取控制策略匹配環節中預設允許存取所有流量。您可以根據業務需要，配置不同防火牆的流量攔截和允許存取策略，以便更好地管控資產的未授權訪問。本文介紹Cloud Firewall存取控制策略的工作原理、計費方式等。

功能概述

Cloud Firewall提供適用於互連網邊界、NAT邊界、VPC邊界和主機邊界的存取控制策略能力，您可以為不同的防火牆配置存取控制策略，攔截未授權的流量訪問，實現多方位流量的安全隔離管控。本文介紹的存取控制策略原理僅適用於互連網邊界、NAT邊界和VPC邊界存取控制策略。

說明

主機邊界存取控制策略的具體資訊，請參見配置主機邊界存取控制策略。

策略包含的元素

存取控制策略支援識別並匹配不同流量元素，實現對相關流量的允許存取或拒絕。

匹配項	說明	配置類型	不同策略支援的配置類型
訪問源	網路連接發起方	IP：對特定的單個IP位址區段發起的流量進行存取控制。 IP地址簿：對一系列IP位址區段發起的流量進行存取控制。地區：對特定地理地區發起的流量進行存取控制。	互連網邊界出向策略、NAT邊界出向策略、VPC邊界策略：支援IP和IP地址簿。互連網邊界入向策略：支援IP、IP地址簿和地區。
目的	網路連接接收方	支援IP、IP地址簿、網域名稱和地區。 IP：對特定的單個IP位址區段收到的流量進行存取控制。 IP地址簿：對一系列IP位址區段收到的流量進行存取控制。網域名稱：對網域名稱地址收到的流量進行存取控制。地區：對特定地理地區收到的流量進行存取控制。	互連網邊界出向策略、NAT邊界出向策略：支援IP、IP地址簿、網域名稱和地區類型。 VPC邊界策略：支援IP、IP地址簿和網域名稱類型。互連網邊界入向策略：支援IP和IP地址簿類型。
協議類型	傳輸層協議	支援TCP、UDP、ICMP和ANY。不確定具體協議類型時可選擇ANY。	所有策略：支援所有類型。
連接埠	目的連接埠	對訪問流量經過的連接埠進行存取控制，支援連接埠和連接埠地址簿。	取決於選擇的協議類型。
應用	應用程式層協議	支援HTTP、HTTPS、SMTP、SMTPS、SSL、FTP等多種協議。不確定具體應用類型時可選擇ANY。說明 Cloud Firewall會將SSL和TLS應用的443連接埠流量識別為HTTPS類型，SSL和TLS應用的其他連接埠流量會識別為SSL類型。	取決於選擇的協議類型，最多支援同時選擇5種協議。

策略工作原理

如果您未配置任何存取控制策略，Cloud Firewall在存取控制策略匹配環節，預設允許存取所有流量。

配置存取控制策略後，Cloud Firewall會按照特定的邏輯將存取控制策略展開為一條或多條匹配規則，並下發到引擎。當流量經過Cloud Firewall時，Cloud Firewall按照策略的優先順序，依次匹配流量報文，如果流量報文命中某一條策略，則執行該策略動作，並結束策略匹配，否則將繼續匹配下一優先順序策略，直至命中策略或匹配完所有配置的策略。如果流量匹配完所有存取控制策略後還是沒有命中，預設允許存取該流量。

重要

建立、修改和刪除存取控制策略後，Cloud Firewall約需要3分鐘將策略下發到引擎。
存取控制策略的優先順序數值越小，優先順序越高。為了確保存取原則匹配最優，建議您將經常匹配和細化匹配的原則設定為高優先順序。

存取控制策略的工作原理如下圖所示。

策略執行動作

存取控制策略的動作支援設定為允許存取、觀察和拒絕。當流量包的報文元素與存取控制策略規則匹配成功時，Cloud Firewall執行該存取控制策略的動作。

策略的動作設定為觀察模式後，當策略匹配成功時仍會允許存取流量。您可以在觀察一段時間後，根據需要調整為允許存取或拒絕。

說明

您可以進入流量日誌頁面查看流量資料。具體操作，請參見日誌審計。

策略佔用規格

配置存取控制策略後，Cloud Firewall將按照訪問源、目的地址、協議類型、連接埠、應用配置項的對象數量，統計每條存取控制策略的實際佔用規格數。

計算方式

策略佔用規格數的計算公式如下：

單條策略佔用的規格數=源地址個數（IP位址區段個數或地區個數）*目的地址個數（IP位址區段個數或地區個數或網域名稱個數）*連接埠段個數*應用數
重要
互連網邊界防火牆、VPC邊界防火牆、NAT邊界防火牆均支援配置基於DNS動態解析網域名稱識別模式的存取控制策略，此類存取控制策略（包括基於DNS動態解析、同時基於FQDN與DNS動態解析的策略）在各個邊界防火牆的佔用規格數按照階梯計數。
當某個邊界防火牆中此類策略總規格數為0~200時，此類策略總佔用規格數計算為實際的總規格數；當此類策略總規格數為200以上，此類策略總佔用規格數計算為200+超出200的規格數*10。
例如，您在互連網邊界防火牆已經配置了一條目的網域名稱為aliyun.com的基於DNS動態解析的策略，該策略實際規格數為185，此時如果您還需要建立一條基於DNS動態解析的網域名稱策略，假設該策略的實際規格數為16，則您建立成功後這兩條策略在互連網邊界防火牆的總規格佔用數為200+（185+16-200）*10 = 210。
您可以在存取控制策略列表的占用规格数列，查看每條存取控制策略的實際佔用規格數。
存取控制策略的使用規格數=所有存取控制策略佔用的規格數之和（包含出向策略和入向策略）
您可以在存取控制策略的頁面上方，查看對應策略的使用規格。例如互連網邊界的使用規格統計資料如下所示：

計費說明

Cloud Firewall訂用帳戶版（進階版、企業版、旗艦版）的基礎價格預設提供一定數量的存取控制策略規格數。如果預設提供的存取控制策略授權規格數不滿足需求，您可以按需擴充。
擴充購買的全域存取控制策略規格數支援互連網邊界防火牆、NAT邊界防火牆和VPC邊界防火牆存取控制策略配置情境共用佔用。更多資訊，請參見訂用帳戶。
Cloud Firewall按量版最多支援建立互連網邊界存取控制策略2,000規格數、NAT邊界存取控制策略2,000規格數、VPC邊界存取控制策略10,000規格數，暫時不支援擴充。更多資訊，請參見隨用隨付。

策略佔用規格計算樣本

樣本	策略配置	單條策略佔用的規格數
樣本一	訪問源：19.16.XX.XX/32，17.6.XX.XX/32 目的地址：www.aliyun.com 協議類型：TCP 連接埠：80/88，443/443 應用：HTTP，HTTPS	訪問源IP位址區段個數目的地址網域名稱個數連接埠段個數應用數=2122=8
樣本二	訪問源：北京市，浙江省目的地址：19.18.XX.XX/32 協議類型：TCP 連接埠：80/80 應用：HTTP	訪問來源區域個數目的地址IP位址區段個數連接埠段個數應用數=2111=2

Cloud Firewall：存取控制策略概述