访问控制策略常见问题

• 功能特性类问题

  • 访问控制策略授权规格是否支持扩展？

  • VPC间的防护流量是否支持扩展？

  • 云防火墙是否支持封禁IPv6地址段？

  • 主机边界防火墙和安全组有什么区别？

  • 普通策略组和企业策略组，有什么区别？

  • DNS防火墙与访问控制互联网边界防火墙的出方向策略，有什么区别？

• 操作类问题

  • 配置了HTTP或HTTPS的出方向域名访问控制策略，如何验证策略的有效性？

  • 如何解决一键下发安全组默认放通策略时返回失败问题？

  • 如何解决安全组默认放通策略的“配置冲突不可调整”问题？

  • 如何解决安全组默认放通策略的一键下发按钮置灰问题？

  • 如何解决外部扫描导致的异常外联误报？

  • 互联网边界防火墙出方向配置了0.0.0.0/0的拒绝策略，为什么还有流量因未命中任何策略而放行？

  • 如何实现只允许访问某个主域名的特定子域名网站？

  • 如何通过云防火墙加强堡垒机域名的访问控制？

访问控制策略授权规格是否支持扩展？

• 如果您的云防火墙版本是云防火墙包年包月版（高级版、企业版、旗舰版），当互联网边界、NAT边界和VPC边界的访问控制策略规格数无法满足业务需求时，您可以访问 云防火墙购买页，通过购买访问控制全局扩展规格数进行扩展。更多信息，请参见 包年包月。

• 如果您的云防火墙版本是云防火墙按量版，暂不支持扩展访问控制策略授权规格数。更多信息，请参见 按量付费。

VPC间的防护流量是否支持扩展？

支持。

如果已购买的VPC防护流量无法满足您的业务需求，您可以通过购买VPC流量处理能力进行扩展。

• 企业版：基础价格默认包含200 Mbps，可扩容范围为200~10,000 Mbps。。

• 旗舰版：基础价格默认包含1,000 Mbps，可扩容范围为1,000~15,000 Mbps。。

云防火墙是否支持封禁IPv6地址段？

云防火墙包年包月版（高级版、企业版、旗舰版）的互联网边界访问控制策略，支持针对IPv6地址段的流量进行管控，具体操作，请参见 互联网边界（出入双向流量）。

云防火墙按量版暂不支持针对IPv6地址段的流量管控。

DNS防火墙与访问控制互联网边界防火墙的出方向策略，有什么区别？

区别如下：

云防火墙和安全组有什么区别？

安全组是ECS提供的虚拟主机防火墙，能够对ECS实例间的流量进行访问控制。

云防火墙是互联网边界防火墙、NAT边界防火墙、VPC边界防火墙、主机边界防火墙的统称，可以提供基于互联网边界、NAT边界、VPC网络边界、ECS实例间的流量管控能力，形成全方位的防护体系。

相比于安全组，云防火墙提供以下特有的功能：

• 支持应用级别的访问控制，允许对HTTP等协议流量进行控制，不受限于特定端口。

• 支持域名级别的访问控制。例如，能够配置只允许ECS访问指定的域名网站。

• 提供入侵防御功能，支持对常见的系统漏洞和暴力破解进行防护。

• 访问控制策略支持观察模式，允许监控潜在风险流量而不立即阻断。

• 提供完整的流量日志，并支持对流量进行实时分析。

• 提供统一平台安全管控。在 云防火墙控制台配置的主机边界防火墙控制策略，会自动同步到ECS的安全组，简化安全管理流程。

主机边界防火墙的普通策略组和企业策略组有什么区别？

主机边界防火墙（ECS实例间）访问控制的策略组对应于ECS的安全组，是一种虚拟防火墙，能够控制ECS实例的出入站流量。策略组分为普通策略组和企业策略组，适用于不同的使用场景。

• 普通策略组：对应于ECS的普通安全组，支持组内互通功能和添加授权安全组访问的规则，但可容纳的私网IP数量小于企业级安全组。

• 企业策略组：对应于ECS的企业安全组，企业级安全组可以容纳更多的私网IP地址数量，但不支持组内互通功能，也不支持添加授权安全组访问的规则。

更多信息，请参见 普通安全组与企业级安全组。

配置了HTTP或HTTPS的出方向域名访问控制策略，如何验证策略的有效性？

使用curl命令或浏览器访问域名进行测试。例如，执行curl -k "https://www.aliyundoc.com"，然后进入云防火墙控制台查看命中策略的次数和日志审计信息。

如何解决一键下发安全组默认放通策略失败的问题？

一键下发安全组默认放通策略时，系统返回失败，表示该资产IP关联的安全组不支持默认放通，可能原因如下：

• 该资产IP关联的安全组为企业安全组。

  企业级安全组不支持下发安全组默认放通策略。相关信息，请参见 企业安全组。

• 该资产IP未开启互联网边界防火墙保护开关。

  为更好地保护您的资产安全，对于未开启云防火墙开关的资源，不建议下发默认放通策略；对于已放通的资源，不建议关闭云防火墙的防护开关。

如何解决安全组默认放通策略的“配置冲突不可调整”问题？

可能原因

该资产IP关联的安全组中的规则与待下发规则的优先级、协议类型、端口范围、授权对象均相同。

解决方法

建议您前往 ECS管理控制台的安全组页面查看和调整冲突的规则优先级，具体操作，请参见 修改安全组规则。或者提交 工单，联系产品技术专家进行咨询。

如何解决安全组默认放通策略的一键下发按钮置灰问题？

可能原因

存在还未解决冲突的安全组。

解决方法

您需要根据页面提示，先解决配置冲突问题后才能一键下发安全组默认放通策略。具体操作，请参见 互联网边界防火墙。

如何解决外部扫描导致的异常外联误报？

可能原因

遇到因外部端口扫描而产生的错误外联告警时，通常是由于入向访问控制策略设置不足所致。当攻击者扫描非开放端口，云防火墙可能将服务器响应的端口不可达ICMP消息误判为客户端发起的外联。

外联扫描误报的原理说明

外联扫描误报的具体原理说明如下所示：

• 在正常情况下，当一个SYN（同步序列编号）数据包送达一个开放的端口，服务器会回应一个SYN-ACK（同步确认）数据包。云防火墙会将SYN和SYN-ACK数据包识别为属于同一连接的部分。

• 当攻击者扫描一个未开放的端口，服务器或者网络地址转换（NAT）设备会回应一个表示端口不可达的ICMP（互联网控制消息协议）数据包。云防火墙不能将这个ICMP响应与任何特定的入向请求关联起来，因此可能错误地认定这个ICMP数据包是从客户端发起的一次主动外联连接尝试。如果扫描的来源IP地址在威胁情报库中，就会触发异常外联的告警。

解决办法

为减少此类误报，应当强化入方向的访问控制，严格管理未开放端口，仅放行需开放的端口，其他端口均封禁。具体操作，请参见 互联网边界（出入双向流量）。

互联网边界防火墙出方向配置了0.0.0.0/0的拒绝策略，为什么还有流量因未命中任何策略而放行？

可能原因

• 触发了域名等待

  当配置了高优先级的域名策略，流量和策略匹配成功了源IP、目的端口和应用，但未识别出域名。此时，流量默认放行，目的是在后续流量匹配中，尽可能识别出域名。

• 触发了应用等待

  当配置了高优先级的应用策略，流量和策略匹配成功了源IP、目的IP和端口，但未识别出应用。此时，流量默认放行，目的是在后续流量匹配中，尽可能识别出应用。

解决办法

• 您可以配置访问控制的严格模式。

  对命中已配置的访问控制策略的流量，如果存在未识别出应用类型或者域名的流量，将会继续匹配其他访问控制策略；如果有配置拒绝策略，将拒绝未识别unknown流量业务访问。具体操作，请参见 互联网边界防火墙-严格模式。

• 您可以放弃七层策略，只使用四层策略。

  配置访问策略时，应用选择ANY，目的不设置域名。当流量匹配到这条四层策略时，就会按照配置的策略动作执行。具体操作，请参见 互联网边界（出入双向流量）。

如何实现只允许访问某个主域名的特定子域名网站？

以xyz.com域名为例，需要配置只允许访问abc.xyz.com域名的网页，此时，您可以按照以下操作配置：

1. 创建一条拒绝*.xyz.com域名的访问控制策略，将其优先级置为最后。

2. 创建一条放行abc.xyz.com域名的访问控制策略，将其优先级置为最前。

需要确保放行特定子域名的策略优先级高于拒绝其他网站的策略。关于如何配置访问控制策略，请参见 互联网边界（出入双向流量）。

如何通过云防火墙加强堡垒机域名的访问控制？