原理:在互联网到所有云上资产的公网出入路径进行统一访问控制。
默认策略:默认全部放行。
推荐配置步骤
登录云防火墙(原生版)控制台。
在左侧导航栏,选择“访问控制 >互联网边界规则”。
在互联网边界规则页面,配置互联网入向流量。
放行所有在互联网开放的必要端口,比如http(80)、https(443)服务等。
有限放行运维或高安全风险的端口,比如ssh(22)、mysql(3306)等端口。
默认禁止互联网的高危服务端口,比如smb(445)端口等。
配置Any到Any的默认放行策略,启用状态为开,配合流量日志观察无误后再切换启用状态为关。
验证策略是否满足需求。
在左侧导航栏,选择“日志审计 > 流量日志”,查询所有流量放行、阻断,可以结合实际测试结果验证策略是否满足要求。
完善互联网边界访问控制策略。
验证没有误拦截情况后,可以考虑将Any到Any的默认策略的启用状态从开切换到关。
注意
此步骤需要评估风险后再操作。
检查所有业务的可用性。
在左侧导航栏,选择“日志审计 > 流量日志”,查询所有流量放行、阻断情况,可以结合实际测试结果验证策略是否满足要求。
配置主动外联访问控制策略(出向规则)。
请参考以下配置逻辑:对主动外联有访问控制需求时,可以在“访问控制 > 互联网边界规则 > 出向规则”处配置。
推荐只放行到特定目的IP的请求。默认拦截其它所有主动外联流量(可以先观察一段时间确认所有外联需求)。