全部产品
Search

搜索本产品

    资源编排:ALIYUN::CLOUDFW::NatFirewallControlPolicy

    文档中心

    资源编排:ALIYUN::CLOUDFW::NatFirewallControlPolicy

    更新时间:Aug 26, 2024

    ALIYUN::CLOUDFW::NatFirewallControlPolicy类型用于添加NAT防火墙访问控制策略。

    语法

    {
  "Type": "ALIYUN::CLOUDFW::NatFirewallControlPolicy",
  "Properties": {
    "ApplicationNameList": List,
    "AclAction": String,
    "Destination": String,
    "Description": String,
    "DestinationType": String,
    "Direction": String,
    "NatGatewayId": String,
    "NewOrder": Integer,
    "Proto": String,
    "SourceType": String,
    "Source": String,
    "DestPort": Integer,
    "DestPortType": String,
    "DomainResolveType": Integer,
    "DestPortGroup": String,
    "EndTime": String,
    "IpVersion": Integer,
    "RepeatEndTime": String,
    "RepeatDays": List,
    "RepeatType": String,
    "RepeatStartTime": String,
    "Release": Boolean,
    "StartTime": String
  }
}

    属性

    属性名称

    类型

    必须

    允许更新

    描述

    约束

    ApplicationNameList

    List

    访问控制策略支持的应用类型列表。

    无。

    AclAction

    String

    安全访问控制策略中访问流量通过云防火墙的方式(动作)。

    取值:

    • accept:放行

    • drop:拒绝

    • log:观察

    Destination

    String

    访问控制策略中的目的地址段。

    取值:

    • 当 DestinationType 为 net 时,Destination 为目的 CIDR。

      例如:1.2.XX.XX/24

    • 当 DestinationType 为 group 时,Destination 为目的地址簿名称。

      例如:db_group

    • 当 DestinationType 为 domain 时,Destination 为目的域名。

      例如:*.aliyuncs.com

    • 当 DestinationType 为 location 时,Destination 为目的区域。

      例如: ["BJ11", "ZB"]

    Description

    String

    访问控制策略的描述信息。

    无。

    DestinationType

    String

    访问控制策略中的目的地址类型。

    取值:

    • net:目的网段(CIDR 地址)

    • group:目的地址簿

    • domain:目的域名

    Direction

    String

    访问控制策略的流量方向。

    取值:

    • out:内对外流量访问控制

    NatGatewayId

    String

    NAT 网关的实例 ID。

    无。

    NewOrder

    Integer

    访问控制策略生效的优先级。

    优先级数字从 1 开始顺序递增,优先级数字越小,优先级越高。

    Proto

    String

    访问控制策略中流量访问的安全协议类型。

    取值:

    • ANY(表示查询所有协议类型)

    • TCP

    • UDP

    • ICMP

    SourceType

    String

    访问控制策略中的源地址类型。

    取值:

    • net:源网段(CIDR 地址)。

    • group:源地址簿。

    Source

    String

    访问控制策略中的源地址。

    取值:

    • SourceTypenet时,Source 为源 CIDR 地址。

      例如:10.2.4.0/24。

    • SourceTypegroup时,Source 为源地址簿名称。

      例如:db_group。

    DestPort

    Integer

    访问控制策略中流量访问的目的端口。

    取值:

    • 当协议类型为 ICMP 时,DestPort 取值为空。

    说明

    协议类型为 ICMP 时,不支持对目的端口进行访问控制。

    • 当协议类型为 TCP、UDP 或 ANY 时,并且目的端口类型(DestPortType)为 group 时,DestPort 取值为空。

    说明

    访问控制策略目的端口类型选择 group(目的端口地址簿)时,您无需设置具体的目的端口号。需要该访问控制策略管控的所有端口会包含在目的端口地址簿中。

    • 当协议类型为 TCP、UDP 或 ANY 时,并且目的端口类型(DestPortType)为 port 时,DestPort 取值为目的端口号。

    DestPortType

    String

    安全访问控制策略中访问流量的目的端口类型。

    取值:

    • port:端口。

    • group:端口地址簿。

    DomainResolveType

    Integer

    访问控制策略的域名解析方式。

    取值:

    • 0:基于 FQDN。

    • 1:基于 DNS 动态解析。

    • 2:基于 FQDN 与 DNS 动态解析。

    DestPortGroup

    String

    访问控制策略中访问流量的目的端口地址簿名称。

    说明

    DestPortType 设置为 group 时,您需要设置目的端口地址簿名称。

    EndTime

    String

    访问控制策略的策略有效期的结束时间。

    使用秒级时间戳格式表示。必须为整点或半点时间,且大于开始时间至少半小时。

    说明

    当 RepeatType 为 Permanent 时,EndTime 为空。当 RepeatType 为 None、Daily、Weekly、Monthly 时,EndTime 必须有值,您需要设置结束时间。

    IpVersion

    Integer

    支持的 IP 地址版本。

    取值:4(默认):代表 IPv4 地址。

    RepeatEndTime

    String

    访问控制策略的策略有效期的重复结束时间。

    例如:23:30,必须为整点或半点时间,且大于重复开始时间至少半小时。

    说明

    当 RepeatType 为 Permanent、None 时,RepeatEndTime 为空。当 RepeatType 为 Daily、Weekly、Monthly 时,RepeatEndTime 必须有值,您需要设置重复结束时间。

    RepeatDays

    List

    访问控制策略的策略有效期的重复日期集合。

    • 当 RepeatType 为PermanentNoneDaily时,RepeatDays 为空集合。 例如:[]。

    • 当 RepeatType 为 Weekly 时,RepeatDays 不能为空。 例如:[0, 6]。

    说明

    RepeatType 设置为 Weekly 时,RepeatDays 不允许重复。

    • 当 RepeatType 为Monthly时,RepeatDays 不能为空。 例如:[1, 31]。

    说明

    RepeatType 设置为 Monthly 时,RepeatDays 不允许重复。

    RepeatType

    String

    访问控制策略的策略有效期的重复类型。

    取值:

    • Permanent(默认):总是。

    • None:指定单次时间。

    • Daily:每天。

    • Weekly:每周。

    • Monthly:每月。

    RepeatStartTime

    String

    访问控制策略的策略有效期的重复开始时间。

    例如:08:00,必须为整点或半点时间,且小于重复结束时间至少半小时。

    说明

    当 RepeatType 为 Permanent、None 时,RepeatStartTime 为空。当 RepeatType 为 Daily、Weekly、Monthly 时,RepeatStartTime 必须有值,您需要设置重复开始时间。

    Release

    Boolean

    访问控制策略的启用状态。

    策略创建后默认启用该策略。取值:

    • true:启用访问控制策略。

    • false:不启用访问控制策略。

    StartTime

    String

    访问控制策略的策略有效期的开始时间。

    使用秒级时间戳格式表示。必须为整点或半点时间,且小于结束时间至少半小时。

    说明

    当 RepeatType 为 Permanent 时,StartTime 为空。当 RepeatType 为 None、Daily、Weekly、Monthly 时,StartTime 必须有值,您需要设置开始时间。

    返回值

    Fn::GetAtt

    • AclUuid:安全访问控制策略的唯一标识 ID。

    • Direction:访问控制策略的流量方向。

    • NatGatewayId:NAT 网关的实例 ID。

    示例

    • YAML格式 

      ROSTemplateFormatVersion: '2015-09-01'
Parameters:
  NatGateway:
    Type: String
    AssociationProperty: ALIYUN::VPC::NatGateway::NatGatewayId
Resources:
  ExtensionResource:
    Type: ALIYUN::CLOUDFW::NatFirewallControlPolicy
    Properties:
      AclAction: log
      ApplicationNameList:
        - HTTP
        - HTTPS
      Description: test
      Destination: 200.1.2.0/24
      DestinationType: net
      NatGatewayId:
        Ref: NatGateway
      Proto: TCP
      Source: 10.0.0.0/8
      SourceType: net
      NewOrder: '-1'
      Direction: out
Outputs:
  AclUuid:
    Description: The unique ID of the access control policy.
    Value:
      Fn::GetAtt:
        - ExtensionResource
        - AclUuid
  Direction:
    Description: The direction of the traffic to which the access control policy applies.
    Value:
      Fn::GetAtt:
        - ExtensionResource
        - Direction
  NatGatewayId:
    Description: The ID of the NAT gateway.
    Value:
      Fn::GetAtt:
        - ExtensionResource
        - NatGatewayId

    • JSON格式 

      {
  "ROSTemplateFormatVersion": "2015-09-01",
  "Parameters": {
    "NatGateway": {
      "Type": "String",
      "AssociationProperty": "ALIYUN::VPC::NatGateway::NatGatewayId"
    }
  },
  "Resources": {
    "ExtensionResource": {
      "Type": "ALIYUN::CLOUDFW::NatFirewallControlPolicy",
      "Properties": {
        "AclAction": "log",
        "ApplicationNameList": [
          "HTTP",
          "HTTPS"
        ],
        "Description": "test",
        "Destination": "200.1.2.0/24",
        "DestinationType": "net",
        "NatGatewayId": {
          "Ref": "NatGateway"
        },
        "Proto": "TCP",
        "Source": "10.0.0.0/8",
        "SourceType": "net",
        "NewOrder": "-1",
        "Direction": "out"
      }
    }
  },
  "Outputs": {
    "AclUuid": {
      "Description": "The unique ID of the access control policy.",
      "Value": {
        "Fn::GetAtt": [
          "ExtensionResource",
          "AclUuid"
        ]
      }
    },
    "Direction": {
      "Description": "The direction of the traffic to which the access control policy applies.",
      "Value": {
        "Fn::GetAtt": [
          "ExtensionResource",
          "Direction"
        ]
      }
    },
    "NatGatewayId": {
      "Description": "The ID of the NAT gateway.",
      "Value": {
        "Fn::GetAtt": [
          "ExtensionResource",
          "NatGatewayId"
        ]
      }
    }
  }
}