- 动态与公告
- 新手指引
- 产品简介
- 购买指南
- 操作指南
- 实践教程
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Other APIs
- DescribeBlockByIpTimesList
- DescribeBlockIgnoreList
- ModifyStorageSetting
- ModifyNatSequenceRules
- DescribeGuideScanInfo
- ModifyBlockTop
- DescribeUnHandleEventTabList
- DescribeTLogIpList
- DescribeTLogInfo
- DescribeBlockStaticList
- SetNatFwEip
- ModifyResourceGroup
- ModifyNatFwSwitch
- ModifyNatFwReSelect
- ModifyAssetScan
- DescribeSourceAsset
- DescribeNatFwInstanceWithRegion
- DeleteResourceGroup
- CreateNatFwInstance
- DescribeResourceGroupNew
- CreateNatFwInstanceWithDomain
- DescribeIPStatusList
- Access Control APIs
- AddNatAcRule
- DescribeNatAcRule
- ModifyNatAcRule
- ModifyEnterpriseSecurityDispatchStatus
- ModifyTableStatus
- ModifySequenceRules
- ModifyAllRuleStatus
- ModifyAcRule
- DescribeTableStatus
- DescribeRuleOverview
- DescribeAcLists
- CreateAcRules
- SetNatFwDnatRule
- ExpandCfwVertical
- DescribeNatFwVpcDnsLst
- DescribeNatFwInstancesInfo
- DescribeNatFwInstance
- DescribeNatFwInfoCount
- AddAcRule
- Enterprise Security Group APIs
- Firewall Status APIs
- Intrusion Defense APIs
- Data Types
- Error Codes
- 常见问题
- 服务等级协议
- CFW 政策
- 动态与公告
- 新手指引
- 产品简介
- 购买指南
- 操作指南
- 实践教程
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Other APIs
- DescribeBlockByIpTimesList
- DescribeBlockIgnoreList
- ModifyStorageSetting
- ModifyNatSequenceRules
- DescribeGuideScanInfo
- ModifyBlockTop
- DescribeUnHandleEventTabList
- DescribeTLogIpList
- DescribeTLogInfo
- DescribeBlockStaticList
- SetNatFwEip
- ModifyResourceGroup
- ModifyNatFwSwitch
- ModifyNatFwReSelect
- ModifyAssetScan
- DescribeSourceAsset
- DescribeNatFwInstanceWithRegion
- DeleteResourceGroup
- CreateNatFwInstance
- DescribeResourceGroupNew
- CreateNatFwInstanceWithDomain
- DescribeIPStatusList
- Access Control APIs
- AddNatAcRule
- DescribeNatAcRule
- ModifyNatAcRule
- ModifyEnterpriseSecurityDispatchStatus
- ModifyTableStatus
- ModifySequenceRules
- ModifyAllRuleStatus
- ModifyAcRule
- DescribeTableStatus
- DescribeRuleOverview
- DescribeAcLists
- CreateAcRules
- SetNatFwDnatRule
- ExpandCfwVertical
- DescribeNatFwVpcDnsLst
- DescribeNatFwInstancesInfo
- DescribeNatFwInstance
- DescribeNatFwInfoCount
- AddAcRule
- Enterprise Security Group APIs
- Firewall Status APIs
- Intrusion Defense APIs
- Data Types
- Error Codes
- 常见问题
- 服务等级协议
- CFW 政策
VPC 间规则提供有多张访问控制列表,每张访问控制列表对应一对互通 VPC,同时也对应一个 VPC 间防火墙开关。本文将为您介绍如何在云防火墙控制台设置 VPC 间规则。
操作指南
1. 登录 云防火墙控制台,在左侧导航栏中,选择访问控制 > VPC 间规则。
2. 在 VPC 间规则页面左上角,可通过“防火墙开关名称”的下拉框切换不同的 VPC 间访问控制列表。
说明:
区别于互联网边界和 NAT 边界访问控制列表,VPC 间访问控制列表不区分方向区。
本端 VPC 与对端 VPC 是等价的,在配置规则时,可以根据访问源与访问目的所在的 CIDR 网段判断所属 VPC,进而区分方向。
3. 在 VPC 间规则页面,单击添加规则,进入添加规则页面。
4. 在添加规则页面,已提供了 VPC 间访问控制列表的本端及对端 VPC 信息与防火墙开关信息,仅需填写访问源 IP、访问目的 IP 及目的端口等信息,即可完成规则配置。
字段说明:
执行顺序:访问控制规则的执行顺序,与防火墙开关中对应规则列表的执行顺序互不影响,执行顺序较高的规则会被优先匹配,命中某条规则后,则不再继续匹配后序规则。当您修改某条规则的执行顺序时,原本该位置规则的执行顺序+1,以此类推。当您删除某条规则时,后序所有规则的执行顺序-1。
访问源:支持0.0.0.0/0作为通配规则的访问源(仅生效与于前 VPC 之间),除此之外访问源只能填写本端或对端 VPC 的 CIDR 中的 IP 或子网段,且不与访问目的在同一个 VPC 网段内。
访问目的:支持0.0.0.0/0作为通配规则的访问目的(仅生效于当前VPC之间),除此之外访问目的只能填写本端或对端 VPC 的 CIDR 中的 IP 或子网段,且不与访问源在同一个 VPC 网段内。
目的端口:支持单端口号、基于'/'的端口段以及英文逗号分隔的离散端口值。例如“80”、“80/80”、“-1/-1”、“0/65535”或“80,443,3380/3389”。
协议:当前版本支持 UDP、TCP与 ICMP 协议。
策略说明:
放行:放通命中规则的流量,记录命中次数但不记录访问控制日志,且记录流量日志。
观察:放通命中规则的流量,记录命中次数并记录访问控制日志与流量日志。
阻断:拦截命中规则的流量,记录命中次数并记录访问控制日志,但不记录流量日志。
描述:用于描述规则,最多支持50个字符,支持通过##的方式插入规则的特殊设置,当前版本支持的设定有#长连接#,适用于长连接业务场景。
VPC 间通配规则:支持通配的 IP 地址段。
注意:
本端 VPC 与对端 VPC 的 CIDR 网段不能相同,也不能重叠,否则将无法开启防火墙开关。
VPC 间访问控制规则中,访问源与访问目的仅支持填写:本端/对端 VPC 的 CIDR 地址中的 IP 地址或 CIDR 子网段,由于本端 VPC 和对端 VPC 的 CIDR 不能相同,通过“访问源”、“访问目的”便可以区分规则所控制的流量方向。
若填写本端 VPC 或对端 VPC 的 CIDR 以外的地址,则规则无法生效。
当“访问源”和“访问目的”填写0.0.0.0/0时,可以用来表示 VPC 的全部地址。
5. 在右侧操作栏单击复制, 添加多条规则。
说明:
在“添加入站规则”的弹窗中,一行代表一条规则,每次添加规则默认插入到列表的最后位置,即执行顺序最大,优先级最低的位置。
场景1:已在本地完成规则列表的编辑,需要批量添加规则提升效率。
5.1 在右侧操作栏单击复制,可在当前位置的下方新增一行规则,单次最多支持添加10条规则。
5.2 完善表单中所有字段。
5.3 提交前,检查批量添加规则的执行顺序是否符合预期。
5.4 单击确定,提交所配置的规则。
场景2:需要同时对某个 IP 配置多条规则。
5.1 首先编辑一行规则,只编辑需要重复填写的部分。
5.2 在右侧操作栏单击复制,可在当前位置的下方新增一行规则,并自动复制上一行已经填写的内容,单次最多支持添加10条规则。
5.3 完善表单中其他字段,补充不需要重复填写的部分。
5.4 提交前,检查批量添加规则的执行顺序是否符合预期。
5.5 单击确定,提交所配置的规则。
6. 规则添加完成后,即可在规则列表中查看相关规则。
7. 导入规则,单击导入规则,可以从本地选择文件导入,您可以指定导入位置、下载导入模板和导出现有规则。
8. 策略备份与回滚,单击右上角的规则备份,即可将现有的NAT边界规则进行备份;同时当规则发生了较大变化后,单击备份文件右侧的回滚,即可将规则进行复原。
9. 单击右上角的规则备份,进入策略备份与回滚页面,单击新增备份,在下拉框中选择 VPC 间规则组并输入描述,单击确定完成规则备份。
10. 规则回滚,单击备份文件右侧的回滚,经二次确定后,即可将规则进行还原。
相关信息
如需在云防火墙控制台对互联网边界的入向与出向流量进行管控,请参见 互联网边界规则。
如需在云防火墙控制台对 NAT 边界的入向与出向流量进行管控,请参见 NAT 边界规则。
如需了解云防火墙的访问控制功能的特殊应用场景,请参见 特殊应用场景。
如遇到 VPC 间规则相关问题,可参见 VPC 间防火墙 文档。
是
否
本页内容是否解决了您的问题?