NAT边界规则
最近更新时间: 2024-10-17 17:10:00
NAT 边界规则提供有多张访问控制列表,并可以对访问流量的方向进行配置,同时也对应一个 NAT 边界防火墙开关。本文将为您介绍如何在云防火墙控制台设置 NAT 边界规则。
操作指南
- 登录 云防火墙控制台,在左侧导航栏中,选择【访问控制】>【NAT 边界规则】,进入 NAT 边界规则页面。
- 入向规则与出向规则通过配置不同访问源/访问目的进行区分。
在 NAT 边界规则页面,单击【添加规则】,进入添加规则页面。
在添加规则页面,需选择访问源/访问目的类型、规则优先级,即可完成规则配置。
字段说明:
执行顺序:访问控制规则的执行顺序,与防火墙开关中对应规则列表的执行顺序互不影响,执行顺序较高的规则会被优先匹配,命中某条规则后,则不再继续匹配后序规则。当您修改某条规则的执行顺序时,原本该位置规则的执行顺序+1,以此类推。当您删除某条规则时,后序所有规则的执行顺序-1。
访问源:入向规则访问源对所有公网 IP 生效,支持 IP、CIDR 、地理位置、云厂商和地址模板。
访问目的:入向规则访问目的仅对当前地域内的所有内网资产生效,支持 IP 和 CIDR、资源标签或地址模板。
目的端口:TCP/UDP 规则支持单端口号、基于'/'的端口段以及英文逗号分隔的离散端口值,例如“80”、“80/80”、“-1/-1”、“0/65535”或“80,443,3380/3389”,ICMP 规则不需要配置端口。
协议:
入向规则:当前版本支持 UDP、TCP与 ICMP 协议。
出向规则:访问目的类型输入域名后,支持HTTP、HTTPS、DNS、SMTP、SMTPS协议。
策略说明:
放行:放通命中规则的流量,记录命中次数但不记录访问控制日志,且记录流量日志。
观察:放通命中规则的流量,记录命中次数并记录访问控制日志与流量日志。
阻断:拦截命中规则的流量,记录命中次数并记录访问控制日志,但不记录流量日志。
描述:用于描述规则,最多支持50个字符。
NAT边界通配规则:
防火墙提供了不同的通配 IP、通配端口和通配域名的规则:
输入字段 | 输入示例 | 说明 |
---|---|---|
访问源/访问目的 | 0.0.0.0/64295985640140800 | 表示全部 IP。 |
域名 | 表示全部域名。 | |
域名 | .aa.com | 表示以*开头的二级域名:aa.com。 |
目的端口 | -1/-1 | 表示全部端口。 |
目的端口 | 0/65535 | 表示全部端口。 |
目的端口 | 80,443,3389 | 表示对80、443、3389三个端口生效。 |
目的端口 | 80/443 | 表示对80到443之间的全部端口生效。 |
目的端口 | 80/443,3389 | 表示对80到443之间全部端口与3389端口生效。 |
- 在右侧操作栏单击【复制】, 添加多条规则。
在“添加入站规则”的弹窗中,一行代表一条规则,每次添加规则默认插入到列表的最后位置,即执行顺序最大,优先级最低的位置。
场景1:已在本地完成规则列表的编辑,需要批量添加规则提升效率。
a. 在右侧操作栏单击【复制】,可在当前位置的下方新增一行规则,单次最多支持添加10条规则。
b. 完善表单中所有字段。
c. 提交前,检查批量添加规则的执行顺序是否符合预期。
d. 单击【确定】,提交所配置的规则。
- 场景2:需要同时对某个 IP 配置多条规则。
a. 首先编辑一行规则,只编辑需要重复填写的部分。
b. 在右侧操作栏单击【复制】,可在当前位置的下方新增一行规则,并自动复制上一行已经填写的内容,单次最多支持添加10条规则。
c. 完善表单中其他字段,补充不需要重复填写的部分。
d. 提交前,检查批量添加规则的执行顺序是否符合预期。
e. 单击【确定】,提交所配置的规则。
f. 规则添加完成后,即可在规则列表中查看相关规则。
- 导入规则,单击【导入规则】,可以从本地选择文件导入,您可以指定导入位置、下载导入模板和导出现有规则。