腾讯云虚拟防火墙设置规则
虚拟防火墙即是网络访问控制列表,是一个子网级别无状态的可选安全层,用于控制进出子网的数据流,可以精确到协议和端口粒度。
您可以为具有相同网络流量控制的子网关联同一个虚拟防火墙,通过设置出站和入站规则,对进出子网的流量进行精确控制。
例如,您在腾讯云私有网络内托管多层 Web 应用,创建了不同子网分别部署 Web 层、逻辑层和数据层服务,通过虚拟防火墙,您可以控制这三个子网之间的访问:Web 层子网和数据库层子网无法相互访问,只有逻辑层可以访问 Web 层和数据层子网。
虚拟防火墙规则包括以下几个组成部分:
· 协议类型,如 TCP、UDP 和 HTTP 等。
· 目的端口或端口范围。
· 源数据(入站)或目标数据(出站)的 IP 或者 IP 范围(以 CIDR 表示)。
策略:允许或拒绝。
腾讯云根据与子网关联的虚拟防火墙入站 / 出站规则评估数据包,判断数据包是否允许流向 / 流出子网。
规则优先级
网络 ACL 规则的应用顺序为:由规则第一条(列表顶端)开始应用至最后一条(列表末尾)。若有规则 / 部分规则冲突,默认应用位置更前的规则。
例如,需要允许所有源 IP 对云服务器所有端口进行访问,同时唯一拒绝源IP为192.168.233.11/24的机器 HTTP 访问 80 端口,可按以下方式设置:
协议类型 | 端口 | 源IP | 策略 |
---|---|---|---|
TCP | 80 | 192.168.233.11/24 | 拒绝 |
ALL | ALL | 0.0.0.0/0 | 允许 |