如何选择合适的EIP防护带宽?
云防火墙(原生版)C100型实例提供高级版和企业版供用户选择,不同版本支持的EIP防护带宽不一样,建议EIP防护带宽不小于VPC内EIP总带宽。
EIP防护带宽支持范围如下:
高级版:10Mbps~2000Mbps
企业版:50Mbps~2000Mbps
开启公网资产保护
互联网边界防火墙帮助您检测和防护云上公网IP资产间的通信流量。只有为资产开启互联网边界防火墙后,您才可以使用云防火墙分析和控制云上主机的互联网访问流量。
您可以在“防火墙开关 > 互联网边界防火墙开关”页面,对指定的公网IP资产开启互联网边界防火墙,如下图所示。
配置外到内的访问策略
在“访问控制 > 互联网边界规则 > 入向规则”页面可进行配置,如下图所示。
在入向规则的访问策略中,不要对公网IP全部端口开放访问,对外仅开放必要的互联网IP和端口,其他端口请全部设置为拒绝。
放行需要对外开放的应用或端口
在访问控制页面入向规则列表中,依据业务需求,将源IP地址配置为0.0.0.0/0或特定源,目的选择要放开的IP,协议选择ANY或者依据业务需要选择对应协议,动作选择放行。
例如,80端口为Web服务,对全网开放,因此访问源为0.0.0.0/0;1433、3389端口分别为SqlServer、RDP服务,对特定源开放,因此访问源为特定源。
将除放行策略之外的流量设置为拒绝放行
在访问控制页面入向规则列表中,将源IP地址配置为0.0.0.0/0或地址簿中系统默认配置的地址簿ANY(0.0.0.0/0),目的设置为ANY,协议设置为ANY,动作选择拒绝。
配置内到外的访问策略
在“访问控制 > 互联网边界规则 > 出向规则”页面可进行配置,如下图所示。
出向规则建议不要开放全部放行的策略,只对到必要的外部IP的访问开启放行,其他访问全部设置为拒绝。
放行需要对外访问的应用或端口
在访问控制页面出向规则列表中,依据业务需求,将源IP地址配置为0.0.0.0/0或特定源,也可选择地址簿中系统默认配置的地址簿ANY(0.0.0.0/0)或特定源,目的选择要放开的域名或IP或地址簿中的特定目的,协议选择ANY或者依据业务需要选择对应协议,动作选择放行。
将除放行策略之外的流量设置为拒绝放行
在访问控制页面出向规则列表中,将源IP地址配置为0.0.0.0/0或选择地址簿中系统默认配置的地址簿ANY(0.0.0.0/0),目的设置为ANY,协议设置为ANY,动作选择拒绝。