阿里云防火墙规则配置信息

(1)用户购买开通云防火墙服务之后,可以前往【控制台】-【云网络】-【VPC】-【管理/VPC名称】-【云防火墙】进行查看已经创建完成的规则信息。注:
1. 如果需要进行内外网的访问,则需要创建对应的防火墙规则;云防火墙默认阻止所有流量通过在开通防火墙后,开通云防火墙时系统会自动生成一条放通全部流量的default规则,用户可根据业务需求决定是否使用;
2. 同一路由器下的所有子网的设备具有相同的防火墙规则;
3. 防火墙规则可用于同一路由器下用户需要跨子网间的安全策略限制和用户将访问公网的安全策略限制;
? 用户跨子网的安全策略限制:该种场景下支持只使用安全组策略进行限制,同时亦支持防火墙+安全组同时限制,从使用便捷角度建议使用安全组策略进行限制:
使用安全组示例如下:
比如子网1(192.168.1.0/24)内有阿里云服务器A,B子网2(192.168.2.0/24)中阿里云服务器C,D需要限制为AB内可以互相访问, C,D可以互相访问,而A、B可以访问C、D,但是C、D不能访问A、B,设置安全组SG1, 把阿里云服务器A,B绑定到SG1设置安全组SG2, 把阿里云服务器C,D绑定到SG2;
SG1中2条策略配置如下:
出向 协议any 端口any 远端地址any
入向 协议any 端口any 远端安全组sg1
SG2中3条策略配置如下:
出向 协议any 端口any 远端地址any
入向 协议any 端口any 远端安全组sg2
入向 协议any 端口any 远端安全组sg1
同时使用安全组+防火墙的示例如下:
比如子网1(192.168.1.0/24)内有阿里云服务器A、B,子网2(192.168.2.0/24)中阿里云服务器C、D;需要限制为A、B内可以互相访问,C、D内可以互相访问,而A、B可以访问C、D,但是C、D不能访问A、B;
则需要同时设置安全组和防火墙;
安全组设置:
设置安全组SG1, 把阿里云服务器A,B绑定到SG1
设置安全组SG2, 把阿里云服务器C,D绑定到SG2
SG1中2条策略:
出向 协议any 端口any 远端地址any
入向 协议any 端口any 远端安全组sg1
SG2中3条策略:
出向 协议any 端口any 远端地址any
入向 协议any 端口any 远端安全组sg2
入向 协议any 端口any 远端安全组sg1
防火墙设置:
协议any 源IP:192.168.1.0/24 目的IP:192.168.2.0/24 规则:放行? 用户访问公网的安全策略限制,以阿里云服务器A访问外网阿里云服务器B为例:
若方向由AàB时,源IP地址/HAVIP即为A的IP地址/HAVIP,目的IP地址/HAVIP即为以及端口号即为B的IP地址/HAVIP和端口号;
若方向由BàA时,源IP地址/HAVIP即为B的IP地址/HAVIP,目的IP地址/HAVIP即为以及端口号即为A的IP地址/HAVIP和端口号。