本节介绍互联网边界防火墙访问控制策略的推荐配置方法。

• 原理：在互联网到所有云上资产的公网出入路径进行统一访问控制。
• 默认策略：默认全部放行。

推荐配置步骤：

1. 登录云防火墙控制台。在左侧导航栏，选择“访问控制->互联网边界规则”，如下图所示：

2. 在互联网边界规则页面，配置互联网外对内流量。放行所有在互联网开放的必要端口，比如http（80）、https（443）服务等。有限放行运维或高安全风险的端口，比如ssh（22）、mysql（3306）等端口。默认禁止互联网的高危服务端口，比如smb（445）端口等。配置Any到Any的默认放行策略，启用状态为开，配合流量日志观察无误后再切换启用状态为关。
3. 验证策略是否满足需求。在“日志审计->流量日志”处查询所有流量放行、阻断，可以结合实际测试结果验证策略是否满足要求。
4. 完善互联网边界访问控制策略。验证没有误拦截情况后，可以考虑将Any到Any的默认策略的启用状态从开切换到关。注意：此步骤需要评估风险后再操作。
5. 检查所有业务的可用性。在“日志审计->流量日志”页面，查询所有流量放行、阻断情况，可以结合实际测试结果验证策略是否满足要求。
6. 配置主动外联访问控制策略（内对外流量）。请参考以下配置逻辑：对主动外联有访问控制需求时，可以在“访问控制->互联网规则->内对外防护规则”处配置。
7. 推荐只放行到特定目的IP的请求。默认拦截其它所有主动外联流量（可以先观察一段时间确认所有外联需求）。