最近更新时间:2023-02-02
通过新建安全策略,用户可以为已创建的互联网边界防火墙配置一条或多条优先级不同的安全策略。可以设置安全策略优先级、控制的IP地址/地址段、通信协议、端口、授权策略等。安全策略生效逻辑请参见图-3。
在左侧导航栏中,选择[产品与服务/安全/云防火墙]菜单项,进入云防火墙页面。
选择[云防火墙/安全策略]菜单项,进入云防火墙安全策略页面。
选择“互联网边界防火墙”页签。
选择待创建安全策略的互联网边界防火墙实例。
单击<新建安全策略>按钮,弹出新建安全策略对话框。
配置安全策略的对应参数。参数详情请参见参数说明。
单击<确定>按钮,完成操作。
参数 | 说明 |
可用区 | 选择安全策略执行的可用区。 |
优先级 | 填写安全策略的优先级。优先级范围为1~100,数值越小,优先级高。不同的安全策略优先级不同。 |
源网络类别 | 设置访问流量来源网络的类型,可以选择VPC或者云外网络。源网络类别和目的网络类别不支持同时填写“云外网络”。 |
源网络 | 选择访问流量的来源VPC。当源网络类别为VPC时配置此参数。 |
源地址类型 | 如果源网络类别为VPC
如果源网络类别为云外网络
|
选择子网 | 源地址类型为子网时,需配置此项。 选择当前VPC内的一个子网作为访问流量的来源。 |
自定义IP | 源地址类型为自定义IP时,需配置此项。当前只支持输入一个自定义IP。 如果源网络类别为VPC,手动输入当前VPC中一个IP地址作为访问流量来源地址。 如果源网络类别为云外网络,手动输入VPC外部网络的一个IP地址作为访问流量的来源地址。 |
自定义网段 | 源地址类型为自定义网段时,需配置此项。当前只支持输入一个自定义网段。 如果源网络类别为VPC,手动输入当前VPC中的一个网段地址作为访问流量来源网段。 如果源网络类别为云外网络,手动输入VPC外部网络的一个网段作为访问流量的来源网段。 |
目的网络类别 | 设置接收流量的网络的类型,可以选择VPC或者云外网络。源网络类别和目的网络类别不支持同时填写“云外网络”。 |
目的网络 | 选择接收流量的VPC。当目标网络类别为VPC时配置此参数。 |
目的地址类型 | 如果目的网络类别为VPC
如果目的网络类别为云外网络
|
选择子网 | 目的地址类型为子网时,需配置此项。 选择当前目的VPC内的一个子网接收访问流量。 |
自定义IP | 目的地址类型为自定义IP时,需配置此项。当前只支持输入一个自定义IP。 如果目的网络类别为VPC,手动输入当前目的VPC中的一个接收流量的IP地址。 如果目的网络类别为云外网络,手动输入VPC外部网络中的一个接收流量的IP地址。 |
自定义网段 | 目的地址类型为自定义网段时,需配置此项。当前只支持输入一个自定义网段。 如果目的网络类别为VPC,手动输入当前目的VPC中的一个接收流量的网段。 如果目的网络类别为云外网络,手动输入VPC外部网络中的一个接收流量的网段。 |
通信协议 | 针对访问流量的协议类型进行访问控制。 ANY表示任何协议; 若选择“指定TCP端口”或“指定UDP端口”,需要配置对应协议的端口,相应规则方向上、访问指定端口的该协议类型的报文受监控; 若选择“所有TCP协议”、“所有UDP协议”、“所有ICMP协议”,相应规则方向上的该协议类型的报文都受监控; 若选择HTTP(80)等括号内含端口号的协议,协议使用的端口将被确定。 |
目的端口 | 针对访问流量要访问的端口进行访问控制。当通信协议类型为指定TCP端口、指定UDP端口时,需要输入该协议使用的端口,范围为1~65535。 |
授权策略 | 即控制动作,选择允许或拒绝该流量通过互联网边界防火墙。 |
