• 原理：在互聯網到所有云上資產的公網出入路徑進行統一訪問控制。

• 默認策略：默認全部放行。

推薦配置步驟

1. 登錄云防火墻（原生版）控制臺。

2. 在左側導航欄，選擇“訪問控制 >互聯網邊界規則”。

3. 在互聯網邊界規則頁面，配置互聯網入向流量。

   • 放行所有在互聯網開放的必要端口，比如http（80）、https（443）服務等。

   • 有限放行運維或高安全風險的端口，比如ssh（22）、mysql（3306）等端口。

   • 默認禁止互聯網的高危服務端口，比如smb（445）端口等。

   • 配置Any到Any的默認放行策略，啟用狀態為開，配合流量日志觀察無誤后再切換啟用狀態為關。

4. 驗證策略是否滿足需求。

   在左側導航欄，選擇“日志審計 > 流量日志”，查詢所有流量放行、阻斷，可以結合實際測試結果驗證策略是否滿足要求。

5. 完善互聯網邊界訪問控制策略。

   驗證沒有誤攔截情況后，可以考慮將Any到Any的默認策略的啟用狀態從開切換到關。

   注意

   此步驟需要評估風險后再操作。

6. 檢查所有業務的可用性。

   在左側導航欄，選擇“日志審計 > 流量日志”，查詢所有流量放行、阻斷情況，可以結合實際測試結果驗證策略是否滿足要求。

7. 配置主動外聯訪問控制策略（出向規則）。

   請參考以下配置邏輯：對主動外聯有訪問控制需求時，可以在“訪問控制 > 互聯網邊界規則 > 出向規則”處配置。

   推薦只放行到特定目的IP的請求。默認攔截其它所有主動外聯流量（可以先觀察一段時間確認所有外聯需求）。