NAT边界规则

NAT 边界规则提供有多张访问控制列表，并可以对访问流量的方向进行配置，同时也对应一个 NAT 边界防火墙开关。本文将为您介绍如何在云防火墙控制台设置 NAT 边界规则。 操作指南

1. 登录 云防火墙控制台，在左侧导航栏中，选择【访问控制】>【NAT 边界规则】，进入 NAT 边界规则页面。

• 入向规则与出向规则通过配置不同访问源/访问目的进行区分。

2. 在 NAT 边界规则页面，单击【添加规则】，进入添加规则页面。

3. 在添加规则页面，需选择访问源/访问目的类型、规则优先级，即可完成规则配置。

   

   字段说明：

• 执行顺序：访问控制规则的执行顺序，与防火墙开关中对应规则列表的执行顺序互不影响，执行顺序较高的规则会被优先匹配，命中某条规则后，则不再继续匹配后序规则。当您修改某条规则的执行顺序时，原本该位置规则的执行顺序+1，以此类推。当您删除某条规则时，后序所有规则的执行顺序-1。

• 访问源：入向规则访问源对所有公网 IP 生效，支持 IP、CIDR 、地理位置、云厂商和地址模板。

• 访问目的：入向规则访问目的仅对当前地域内的所有内网资产生效，支持 IP 和 CIDR、资源标签或地址模板。

• 目的端口：TCP/UDP 规则支持单端口号、基于'/'的端口段以及英文逗号分隔的离散端口值，例如“80”、“80/80”、“-1/-1”、“0/65535”或“80,443,3380/3389”，ICMP 规则不需要配置端口。

• 协议：

  • 入向规则：当前版本支持 UDP、TCP与 ICMP 协议。

  • 出向规则：访问目的类型输入域名后，支持HTTP、HTTPS、DNS、SMTP、SMTPS协议。

• 策略说明：

  • 放行：放通命中规则的流量，记录命中次数但不记录访问控制日志，且记录流量日志。

  • 观察：放通命中规则的流量，记录命中次数并记录访问控制日志与流量日志。

  • 阻断：拦截命中规则的流量，记录命中次数并记录访问控制日志，但不记录流量日志。

• 描述：用于描述规则，最多支持50个字符。

• NAT边界通配规则：

  防火墙提供了不同的通配 IP、通配端口和通配域名的规则：

  输入字段	输入示例	说明
  访问源/访问目的	0.0.0.0/64295985640140800	表示全部 IP。
  域名		表示全部域名。
  域名	.aa.com	表示以*开头的二级域名：aa.com。
  目的端口	-1/-1	表示全部端口。
  目的端口	0/65535	表示全部端口。
  目的端口	80,443,3389	表示对80、443、3389三个端口生效。
  目的端口	80/443	表示对80到443之间的全部端口生效。
  目的端口	80/443,3389	表示对80到443之间全部端口与3389端口生效。

4. 在右侧操作栏单击【复制】， 添加多条规则。

• 在“添加入站规则”的弹窗中，一行代表一条规则，每次添加规则默认插入到列表的最后位置，即执行顺序最大，优先级最低的位置。

• 场景1：已在本地完成规则列表的编辑，需要批量添加规则提升效率。

  a. 在右侧操作栏单击【复制】，可在当前位置的下方新增一行规则，单次最多支持添加10条规则。

  

  b. 完善表单中所有字段。

  c. 提交前，检查批量添加规则的执行顺序是否符合预期。

  d. 单击【确定】，提交所配置的规则。

• 场景2：需要同时对某个 IP 配置多条规则。

  a. 首先编辑一行规则，只编辑需要重复填写的部分。

  b. 在右侧操作栏单击【复制】，可在当前位置的下方新增一行规则，并自动复制上一行已经填写的内容，单次最多支持添加10条规则。

  c. 完善表单中其他字段，补充不需要重复填写的部分。

  d. 提交前，检查批量添加规则的执行顺序是否符合预期。

  e. 单击【确定】，提交所配置的规则。

  f. 规则添加完成后，即可在规则列表中查看相关规则。

5. 导入规则，单击【导入规则】，可以从本地选择文件导入，您可以指定导入位置、下载导入模板和导出现有规则。