本节从EIP防护带宽选择、开启资产保护、配置访问控制策略等方面提供指导。
- 如何选择适合我的EIP防护带宽:云防火墙目前只有高级版,支持EIP防护带宽10M~2000M,建议EIP防护带宽不小于VPC内EIP总带宽;
- 开启公网资产保护:互联网边界防火墙帮助您检测和防护云上公网IP资产间的通信流量。只有为资产开启互联网边界防火墙后,您才可以使用云防火墙分析和控制云上主机的互联网访问流量;您可以在“防火墙开关->互联网边界防火墙开关”页面,对指定的公网IP资产开启互联网边界防火墙,如下图所示:
- 配置外到内的访问策略:在“访问控制->互联网规则->外对内防护规则”页面可进行配置,如下图所示:
在外对内流量的访问策略中,不要对公网IP全部端口开放访问,对外仅开放必要的互联网IP和端口,其他端口请全部设置为拒绝。
放行需要对外开放的应用或端口。在访问控制页面外对内流量列表中,依据业务需求,将源IP地址配置为0.0.0.0/0或特定源,目的选择要放开的IP,协议选择ANY或者依据业务需要选择对应协议,动作选择放行。例如,80端口为Web服务,对全网开放,因此访问源为0.0.0.0/0;1433、3389端口分别为SqlServer、RDP服务,对特定源开放,因此访问源为特定源。将除放行策略之外的流量设置为拒绝放行。在访问控制页面外对内流量列表中,将源IP地址配置为0.0.0.0/0或地址簿中系统默认配置的地址簿ANY(0.0.0.0/0),目的设置为ANY,协议设置为ANY,动作选择拒绝。
- 配置内到外的访问策略:在“访问控制->互联网规则->内对外防护规则”页面可进行配置,如下图所示:
内对外流量建议不要开放全部放行的策略,只对到必要的外部IP的访问开启放行,其他访问全部设置为拒绝。放行需要对外访问的应用或端口。在访问控制页面内对外流量列表中,依据业务需求,将源IP地址配置为0.0.0.0/0或特定源,也可选择地址簿中系统默认配置的地址簿ANY(0.0.0.0/0)或特定源,目的选择要放开的域名或IP或地址簿中的特定目的,协议选择ANY或者依据业务需要选择对应协议,动作选择放行。将除放行策略之外的流量设置为拒绝放行。在访问控制页面内对外流量列表中,将源IP地址配置为0.0.0.0/0或选择地址簿中系统默认配置的地址簿ANY(0.0.0.0/0),目的设置为ANY,协议设置为ANY,动作选择拒绝。
