腾讯云虚拟防火墙设置规则

虚拟防火墙即是网络访问控制列表,是一个子网级别无状态的可选安全层,用于控制进出子网的数据流,可以精确到协议和端口粒度。
 
您可以为具有相同网络流量控制的子网关联同一个虚拟防火墙,通过设置出站和入站规则,对进出子网的流量进行精确控制。
例如,您在腾讯云私有网络内托管多层 Web 应用,创建了不同子网分别部署 Web 层、逻辑层和数据层服务,通过虚拟防火墙,您可以控制这三个子网之间的访问:Web 层子网和数据库层子网无法相互访问,只有逻辑层可以访问 Web 层和数据层子网。

虚拟防火墙规则包括以下几个组成部分:

· 协议类型,如 TCP、UDP 和 HTTP 等。

· 目的端口或端口范围。

· 源数据(入站)或目标数据(出站)的 IP 或者 IP 范围(以 CIDR 表示)。

策略:允许或拒绝。

腾讯云根据与子网关联的虚拟防火墙入站 / 出站规则评估数据包,判断数据包是否允许流向 / 流出子网。

规则优先级

网络 ACL 规则的应用顺序为:由规则第一条(列表顶端)开始应用至最后一条(列表末尾)。若有规则 / 部分规则冲突,默认应用位置更前的规则。
例如,需要允许所有源 IP 对云服务器所有端口进行访问,同时唯一拒绝源IP为192.168.233.11/24的机器 HTTP 访问 80 端口,可按以下方式设置:

协议类型 端口 源IP 策略
TCP      80       192.168.233.11/24     拒绝     
ALL ALL 0.0.0.0/0 允许

标签