• 原理：在互联网到所有云上资产的公网出入路径进行统一访问控制。

• 默认策略：默认全部放行。

推荐配置步骤

1. 登录云防火墙（原生版）控制台。

2. 在左侧导航栏，选择“访问控制 >互联网边界规则”。

3. 在互联网边界规则页面，配置互联网入向流量。

   • 放行所有在互联网开放的必要端口，比如http（80）、https（443）服务等。

   • 有限放行运维或高安全风险的端口，比如ssh（22）、mysql（3306）等端口。

   • 默认禁止互联网的高危服务端口，比如smb（445）端口等。

   • 配置Any到Any的默认放行策略，启用状态为开，配合流量日志观察无误后再切换启用状态为关。

4. 验证策略是否满足需求。

   在左侧导航栏，选择“日志审计 > 流量日志”，查询所有流量放行、阻断，可以结合实际测试结果验证策略是否满足要求。

5. 完善互联网边界访问控制策略。

   验证没有误拦截情况后，可以考虑将Any到Any的默认策略的启用状态从开切换到关。

   注意

   此步骤需要评估风险后再操作。

6. 检查所有业务的可用性。

   在左侧导航栏，选择“日志审计 > 流量日志”，查询所有流量放行、阻断情况，可以结合实际测试结果验证策略是否满足要求。

7. 配置主动外联访问控制策略（出向规则）。

   请参考以下配置逻辑：对主动外联有访问控制需求时，可以在“访问控制 > 互联网边界规则 > 出向规则”处配置。

   推荐只放行到特定目的IP的请求。默认拦截其它所有主动外联流量（可以先观察一段时间确认所有外联需求）。