如何選擇合適的EIP防護帶寬？

云防火墻（原生版）C100型實例提供高級版和企業版供用戶選擇，不同版本支持的EIP防護帶寬不一樣，建議EIP防護帶寬不小于VPC內EIP總帶寬。

EIP防護帶寬支持范圍如下：

• 高級版：10Mbps~2000Mbps

• 企業版：50Mbps~2000Mbps

開啟公網資產保護

互聯網邊界防火墻幫助您檢測和防護云上公網IP資產間的通信流量。只有為資產開啟互聯網邊界防火墻后，您才可以使用云防火墻分析和控制云上主機的互聯網訪問流量。

您可以在“防火墻開關 > 互聯網邊界防火墻開關”頁面，對指定的公網IP資產開啟互聯網邊界防火墻，如下圖所示。

配置外到內的訪問策略

在“訪問控制 > 互聯網邊界規則 > 入向規則”頁面可進行配置，如下圖所示。

在入向規則的訪問策略中，不要對公網IP全部端口開放訪問，對外僅開放必要的互聯網IP和端口，其他端口請全部設置為拒絕。

• 放行需要對外開放的應用或端口

  在訪問控制頁面入向規則列表中，依據業務需求，將源IP地址配置為0.0.0.0/0或特定源，目的選擇要放開的IP，協議選擇ANY或者依據業務需要選擇對應協議，動作選擇放行。

  例如，80端口為Web服務，對全網開放，因此訪問源為0.0.0.0/0；1433、3389端口分別為SqlServer、RDP服務，對特定源開放，因此訪問源為特定源。

• 將除放行策略之外的流量設置為拒絕放行

  在訪問控制頁面入向規則列表中，將源IP地址配置為0.0.0.0/0或地址簿中系統默認配置的地址簿ANY（0.0.0.0/0），目的設置為ANY，協議設置為ANY，動作選擇拒絕。

配置內到外的訪問策略

在“訪問控制 > 互聯網邊界規則 > 出向規則”頁面可進行配置，如下圖所示。

出向規則建議不要開放全部放行的策略，只對到必要的外部IP的訪問開啟放行，其他訪問全部設置為拒絕。

• 放行需要對外訪問的應用或端口

  在訪問控制頁面出向規則列表中，依據業務需求，將源IP地址配置為0.0.0.0/0或特定源，也可選擇地址簿中系統默認配置的地址簿ANY（0.0.0.0/0）或特定源，目的選擇要放開的IP或地址簿，協議選擇ANY或者依據業務需要選擇對應協議，動作選擇放行。

• 將除放行策略之外的流量設置為拒絕放行

  在訪問控制頁面出向規則列表中，將源IP地址配置為0.0.0.0/0或選擇地址簿中系統默認配置的地址簿ANY（0.0.0.0/0），目的設置為ANY，協議設置為ANY，動作選擇拒絕。