tencent cloud

文档反馈

NAT 边界规则

最后更新时间:2023-12-11 16:38:29
    访问控制规则支持域名过滤,以及地理位置要求的流量过滤。NAT 边界规则提供两张访问控制规则列表,分别是入向规则与出向规则,入向规则:在互联网边界内,管控由外到内的南北向流量。出向规则:在互联网边界内,管控由内到外的南北向流量。本文档将以“入向规则”为例,进行相关操作说明,“出向规则”操作同理。

    操作指南

    1. 登录 云防火墙控制台,在左侧导航栏中,选择访问控制 > NAT 边界规则
    2. 在 NAT 边界规则界面,选择一个地域,单击入向规则,进入入向规则界面。
    
    
    3. 在入向规则界面,可选择不同地域来创建访问控制规则,以及查看规则列表(入站规则、出站规则已使用的额度以及规则列表总的配额)、最近操作记录和访问控制规则详情。最近操作记录展示了用户最近对规则列表进行的操作:
    单击详情可查看该条操作记录详情。
    单击查看操作日志,可查看详细操作记录。
    
    4. 添加规则,在入向规则页面,可进行规则的配置,以添加入向规则为例进行说明。 i. 在入向规则页面,单击添加规则,将弹出“添加入向规则”的弹窗。
    
    ii. 在“添加入站规则”的弹窗中,可进行规则的配置。访问源类型可选 IP 地址、地理位置、云厂商及 地址模板,访问目的类型可选 IP 地址、资产实例、资源标签、地址模板及资产分组,并根据规则重要性来勾选最先或者最后执行。填写好访问源和访问目的之后,再填写目的端口,选择对应的协议和要执行的策略等信息,并在描述一栏做好备注,单击确定,即可完成规则的配置。
    说明:
    访问目的区域: 指云上实例所在的地域
    访问源的类型:添加入向规则时, 指外部访问源的类型。
    
    字段说明
    执行顺序:访问控制规则的执行顺序,出站规则和入站规则的执行顺序互不影响,执行顺序较高的规则被优先匹配,命中某条规则后,不再匹配后序规则。当您修改某条规则的执行顺序时,原本该位置的规则的执行顺序+1,以此类推。当您删除某条规则时,后序所有规则的执行顺序-1。
    访问源:入向规则访问源对所有公网 IP 生效,支持 IP 地址、地理位置、云厂商和地址模板。
    访问目的:入向规则访问目的仅对当前地域内的所有内网资产生效,支持 IP 地址、资产实例、资源标签、地址模板和资产分组,出向规则访问源和访问目的支持的类型正好相反。
    目的端口:TCP/UDP 规则支持单端口号、基于'/'的端口段以及英文逗号分隔的离散端口值,例如“80”、“80/80”、“-1/-1”、“0/65535”或“80,443,3380/3389”,ICMP 规则不需要配置端口。
    协议:当前版本的入向规则支持 TCP和UDP协议;出向规则支持 TCP、UDP、ICMP、HTTP、HTTPS、SMTP、SMTPS、DNS 和 FTP 等协议。
    策略说明
    放行:放通命中规则的流量,记录命中次数但不记录访问控制日志,且记录流量日志。
    观察:放通命中规则的流量,记录命中次数并记录访问控制日志与流量日志。
    阻断:拦截命中规则的流量,记录命中次数并记录访问控制日志,但不记录流量日志。
    描述:用于描述规则,最多支持50个字符,支持通过##的方式插入规则的特殊设置,当前版本支持的设定有#长连接#,适用于有长连接业务场景。
    NAT 边界通配规则: 防火墙提供了不同的通配 IP、通配端口和通配域名的规则:
    输入字段
    输入示例
    说明
    访问源/访问目的
    0.0.0.0/0
    表示全部 IP。
    域名
    *
    表示全部域名。
    域名
    *.aa.com
    表示以*开头的二级域名:aa.com。
    目的端口
    -1/-1
    表示全部端口。
    目的端口
    0/65535
    表示全部端口。
    目的端口
    80,443,3389
    表示对80、443、3389三个端口生效。
    目的端口
    80/443
    表示对80到443之间的全部端口生效。
    目的端口
    80/443,3389
    表示对80到443之间全部端口与3389端口生效。
    5. 在右侧操作栏单击复制,添加多条规则。
    说明:
    在“添加入站规则”的弹窗中,一行代表一条规则,每次添加规则默认插入到列表的最后位置,即执行顺序最大,优先级最低的位置。
    场景1:已在本地完成规则列表的编辑,需要批量添加规则提升效率。
    5.1 在右侧操作栏单击复制,可在当前位置的下方新增一行规则,单次最多支持添加10条规则。
    
    5.2 完善表单中所有字段。
    5.3 提交前,检查批量添加规则的执行顺序是否符合预期。
    5.4 单击确定,提交所配置的规则。
    场景2:需要同时对某个 IP 配置多条规则。
    5.1 首先编辑一行规则,只编辑需要重复填写的部分。
    5.2 在右侧操作栏单击复制,可在当前位置的下方新增一行规则,并自动复制上一行已经填写的内容,单次最多支持添加10条规则。
    
    
    5.3 完善表单中其他字段,补充不需要重复填写的部分。
    5.4 提交前,检查批量添加规则的执行顺序是否符合预期。
    5.5 单击确定,提交所配置的规则。
    6. 导入规则,单击导入规则,可以从本地选择文件导入,您可以指定导入位置、下载导入模板和导出现有规则。
    
    7. 策略备份与回滚,单击右上角的规则备份,即可将现有的NAT边界规则进行备份;同时当规则发生了较大变化后,单击备份文件右侧的回滚,即可将规则进行复原。
    8. 单击右上角的规则备份,进入策略备份与回滚页面,单击新增备份,在下拉框中选择 NAT 边界规则并输入描述,单击确定完成规则备份。
    
    
    9. 规则回滚,单击备份文件右侧的回滚,经二次确定后,即可将规则进行还原。
    

    相关信息

    如需在云防火墙控制台对互联网边界的入向与出向流量进行管控,请参见 互联网边界规则。
    如需在云防火墙控制台设置 VPC 间规则,请参见 VPC 间规则
    如需了解云防火墙的访问控制功能的特殊应用场景,请参见 特殊应用场景
    如遇到 NAT 边界规则相关问题,可参见 NAT 边界防火墙
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持