配置合适的访问控制策略能有效的帮助您对内部服务器与外网之间的流量进行精细化管控，防止内部威胁扩散，增加安全战略纵深。

EIP开启防护后，访问控制策略默认状态为放行，如您希望仅放行几条EIP，建议您添加一条优先级最低的阻断全部流量的防护规则。

前提条件

已进行同步资产操作并开启弹性公网IP 。

互联网边界防护规则

步骤 1 登录管理控制台。

步骤 2 在左侧导航树中，单击左上方的，选择“安全 > 云防火墙”，进入云防火墙的概览页面。

步骤 3 在左侧导航栏中，选择“访问控制 > 访问策略管理”，进入“访问策略管理”页面。

步骤 4 添加新的防护规则。

单击“添加规则”按钮，在弹出的“添加防护规则”对话框中，填写新的防护信息，填写规则详见下表。

添加防护规则-互联网边界

参数名称	参数说明	取值样例
方向	“防护规则”选择“EIP防护”时，需要选择防护方向： 1.外到内：外网访问内部服务器。2.内到外：客户服务器访问外网。	内到外
名称	自定义规则名称。	test
源类型	选择IP地址、IP地址组或地域 。 1.IP 地址 ：支持设置单个IP地址、连续多个IP地址、地址段。 2.IP 地址组 ：支持多个IP地址的集合。 3. 地域 ：支持地域防护，可在“源地址”中选择地区。	IP地址
源地址	设置访问流量中发送数据包的IP地址、IP地址组。 源IP地址支持以下输入格式： 1. 单个IP地址，如：192.168.10.5 2. 多个连续地址，中间使用“-”隔开，如：192.168.0.2-192.168.0.10 l 地址段，使用"/"隔开掩码，如：192.168.2.0/24	192.168.10.5
目的类型	选择IP地址、IP****地址组**。1.IP 地址 ：支持设置单个IP地址、连续多个IP地址、地址段。 2.IP 地址组 ：支持多个IP地址的集合。 说明 “方向”为“内-外”时，支持选择“域名”类型。	IP地址
目的地址	设置访问流量中的接收数据包的IP地址、IP地址组。 目的IP地址支持以下输入格式： 1. 单个IP地址，如：192.168.10.5 2. 多个连续地址，中间使用“-”隔开，如：192.168.0.2-192.168.0.10 3. 地址段，使用"/"隔开掩码，如：192.168.2.0/24 4.域名，支持多级别单域名（例如，一级域名example.com，二级域名www.example.com等），输入后需单击右侧“测试”，以测试域名有效性。 说明 配置“目的地址”为“域名”的防护规则后需进行DNS解析，请参见《云防火墙用户指南>配置DNS解析》。	192.168.10.6
服务类型	选择服务或**服务组。**1. 服务 ：支持设置单个服务。 2. 服务组 ：支持多个服务的集合。	服务
协议类型	协议类型当前支持：TCP、UDP、ICMP、Any、ICMPV6。	TCP
源端口	设置需要开放或限制的源端口。支持设置单个端口，或者连续端口组，中间使用“-”隔开，如：80-443	80
目的端口	设置需要开放或限制的目的端口。支持设置单个端口，或者连续端口组，中间使用“-”隔开，如：80-443	443
是否支持长连接	选择“是”或“否”，设置是否配置长连接 。 1. 是：设置长连接时长。 2. 否：保留默认时长，各协议规则默认支持的连接时长如下： − TCP协议：1800s。 − UDP/ICMP/Any/ICMPv6协议：60s。说明最大支持100条规则设置长连接。	是
长连接设置时长	“是否支持长连接”选择“是”时，需要配置此参数。 设置长连接时长。输入“时”、“分”、“秒”。 说明 支持时长设置为1秒~1000天。	60时60分60秒
动作	选择“放行”或者“阻断”。设置相应流量是否通过云防火墙。	放行
策略优先级	设置该策略的优先级： 1. 置顶：表示将该策略设置为最优先级别。 2. 移动至选中规则后：表示将该策略优先级设置到某一规则后。说明设置后，优先级数字越小，策略的优先级越高。	置顶
启用状态	设置该策略是否立即启用。：表示立即启用，规则生效；：表示立即关闭，规则不生效。
描述	标识该规则的使用场景和用途，以便后续运维时快速区分不同规则的作用。	-

步骤 5 单击“确认”，完成配置访问控制策略。

说明

EIP开启防护后，访问控制策略默认状态为放行，如您希望仅放行几条EIP，建议您添加一条优先级最低的阻断全部流量（0.0.0.0/0）的防护规则。