相关概念

私有网络

私有网络（Virtual Private Cloud，VPC）是一块您在腾讯云金融专区上自定义的逻辑隔离网络空间，与您在数据中心运行的传统网络相似，托管在云平台私有网络内的是您在云上的服务资源，包括云服务器、负载均衡、云数据库等。

私有网络 VPC 为您提供：

• 弹性公网 IP：用于互联网访问。

• 对等连接：支持私有网络间互通。

• 云联网：支持私有网络间互通。

  通过对等连接、云联网可以实现云上 VPC 互通，VPC 之间的流量也被称为东西向流量。

VPC 间防火墙

VPC 间防火墙是检测 VPC 间东西向流量的防火墙，是一种分布式防火墙。VPC 间防火墙生效于您的两个 VPC 之间，原理如下图所示：

VPC 间防火墙部署在对等连接的两个 VPC 间，支持访问控制、拓扑可视与日志审计等功能，无需复杂的路由配置与镜像文件安装，支持即开即用，用户独享式资源配置。

访问控制

访问控制是流量过滤规则的集合，生效于同一类流量的所有规则组成一张访问控制列表，每一条访问控制规则分为规则主体和描述两部分：

• 规则主体：允许或不允许某个地址的端口访问另一个地址的端口的某种协议的通信。

• 访问源：发起通信的地址，一般是 IP。

• 访问目的：接收通信的地址，可以是 IP，也可以是域名。

• 目的端口：访问目的地址的端口号。

• 协议：通信双方所使用的网络协议。

• 策略：若某个流量符合以上四个条件，则视为命中流量，防火墙会按照这条规则的策略执行以下动作。

• 放行：允许访问，记录流量日志，但不记录规则命中。

• 观察：允许命中的流量通过，记录流量日志与规则命中。

• 阻断：不允许命中的流量通过，不记录流量日志，但记录规则命中。

• 规则描述：记录本条访问控制规则的用途。

  注意：

  合理、规范的填写规则描述有助于提高规则的可读性，降低后期维护成本，提升效率。

规则优先级

执行顺序是规则在列表中的位置，执行顺序为1的规则优先级最高。对于每一个经过防火墙的数据流，防火墙会按照列表的从上到下顺序依次匹配规则：

• 若数据流命中某一条规则，防火墙会执行该规则对应的策略，不再继续匹配。

• 若数据流没有命中当前规则，则继续匹配下一条规则。

• 若数据流没有命中任何一条规则，防火墙会放行该数据流。

• 在一张访问控制列表中，执行顺序的取值区间为1 - n 的整数，1为最高优先级，n 为规则总数，也就是当前规则列表中的最低优先级，一般用于通配规则。

• 执行顺序满足两个原则：连续原则、不可重复原则。

• 连续原则：执行顺序必须是连续正整数，若当前规则数为 n，则执行顺序最大值为 n。

• 不可重复原则：同一个列表中的执行顺序不可重复。

• 执行顺序的连续性与不可重复性由以下三点保证：

• 添加规则时：执行顺序为 n+1。

• 插入规则时：执行顺序为插入位置的执行顺序值，被插入的所有规则会自动向后移动一位，执行顺序值+1。

• 编辑规则时：通过修改执行顺序可以移动规则，执行顺序可以被修改为目标位置的执行顺序值，最小为1，最大为 n。输入目标位置的执行顺序值，该规则会插入到目标位置，被插入的所有规则会自动向后移动一位，执行顺序值+1。

日志

• 规则命中日志：规则命中日志中记录规则命中情况，帮助运维人员进行安全审计工作，规则命中日志显示被放行、观察、阻断的数据流的五元组信息，支持通过按钮查看对应生效的规则。

• 操作日志：云防火墙操作日志分为用户登录日志、开关操作日志和规则操作日志。

• 用户登录日志：记录该用户全部账号的登录情况。

• 开关操作日志：记录云防火墙开关情况。

• 规则操作日志：记录用户对于访问控制规则的新增、删除、编辑操作。