云防火墙可以统一管理ECS实例之间(东西向)、互联网和ECS实例之间(南北向)的流量。本文介绍如何配置云防火墙并查看业务关系。
背景信息
云防火墙提供防火墙一键开关、入侵检测、主动外联阻断、流量分析、日志等功能。包括主机边界防火墙、互联网边界防火墙和VPC边界防火墙。更多云防火墙概念介绍,请参见云防火墙词汇表。
主机边界防火墙作用于东西向流量,底层使用了ECS安全组的能力。您可以在云防火墙控制台为主机边界防火墙设置内对内策略组,也可以在ECS控制台的安全组中设置规则,来控制东西向(即,ECS实例之间)的访问。云防火墙和ECS安全组的配置自动保持同步。您还可以设置应用组,直观查看ECS实例间的访问关系,从而根据访问情况优化内对内策略。
互联网边界防火墙作用于南北向流量,在互联网和ECS实例间进行访问控制。您可以按需设置设置外对内、内对外策略,在入侵防御的基础上进行策略加固,请参见网络流量活动概览和访问控制策略概览。
使用场景
以下场景建议您使用云防火墙:
- 基于域名的访问控制。
- 基于应用的访问控制。
- 对失陷主机的主动外联进行自动阻断。
- 因等保需求,需要近6个月的访问日志。
前提条件
在使用主机边界防火墙前,您需要:
- 授权云防火墙访问云资源,请参见云防火墙授权说明。
- 确保云防火墙为企业版或旗舰版,请参见云防火墙计费方式。
配置主机边界防火墙
在云防火墙控制台发布策略组后,数据立即同步到安全组,但是在ECS控制台配置安全组后,数据每天在固定时间同步到策略组,需要次日才能看到效果。购买企业版或旗舰版云防火墙后,您可以在云防火墙控制台统一维护东西向的访问控制策略。
参考以下步骤配置主机边界防火墙:
- 登录云防火墙控制台。
- 在左侧导航栏,单击访问控制。
- 单击主机边界防火墙。
说明
策略组来源表示了策略组的来源,
自定义表示在云防火墙中创建,
同步安全组表示同步自ECS安全组,
同步应用组表示同步自应用组。 - 单击新增策略组。
- 配置策略组名称、所属VPC、实例ID、描述和模板,然后单击提交。
说明 配置
所属VPC后,地域也确定为VPC所属的地域,比如华东1。 - (可选)在策略组操作列下单击配置策略,按照业务需求新建策略。
- 在策略组操作列下单击发布,发布成功后即同步到ECS安全组。按照以下步骤查看同步效果:
- 登录云服务器ECS控制台。
- 选择策略组所在地域,比如华东1。
- 在左侧导航栏,单击。
- 搜索维度选择安全组名称,输入策略组名称,然后单击搜索,出现同名安全组即表示同步成功。
主机边界防火墙配置完成后,即开始控制ECS实例间的访问。在云防火墙中,您还可以设置应用组,可视化呈现业务关系。
查看业务关系
在云防火墙中,业务区是东西向业务中构成用户某个业务的各个应用组的集合,比如门户网站业务区可能包含Web应用组、DB应用组等。应用组是东西向业务中提供的相同/相似服务的应用集合,比如所有部署了MySQL的ECS实例归属到同一个DB应用组,部署了Apache服务的ECS实例归属到同一个Web应用组。
参考以下步骤查看当前ECS实例之间的关系:
- 登录云防火墙控制台。
- 在左侧导航栏,单击。
- 创建业务区。
- 单击业务区。
- 单击新建业务区。
- 填写名称,比如DB业务、Web业务。
- 填写备注。
- 选择程度,比如非常重要。
- 创建应用组。
- 单击应用组。
- 单击新建应用组。
- 填写名称,比如DB应用组、Web应用组。
- 填写备注。
- 选择程度,比如非常重要。
- 选择业务区类型,比如选择已有业务区。
- 选择业务区,比如DB业务、Web业务。
- 分配应用。
- 选择VPC,比如华东 1 – vpc-xxx。
- 根据业务需要分配应用,比如将部署了MySQL的ECS实例分配至DB应用组,将部署了Apache服务的ECS实例分配至Web应用组。
- 在左侧导航栏,单击业务关系。
- 选择VPC,比如华东 1 – vpc-xxx,即可查看不同业务区的访问关系。您也可以进入应用组和应用层级查看访问关系。
相关文档
- 合理配置访问控制策略
- 通过限制端口控制访问流量
- 对互联网业务进行应用层的深度防御
- 防御数据库入侵
发布者:佚, 佚名,转转请注明出处:https://www.cms2.cn/aliyun/2157.html
微信扫一扫
相关推荐
-
ResetDisk
使用磁盘的历史快照回滚至某一阶段的磁盘状态。 接口说明 调用该接口时,您需要注意: 磁盘的状态必须为 使用中(In_Use)的状态。 磁盘挂载的实例的状态必须为 已停止(Stopped)。 指定的参数 SnapshotId 必须是由 DiskId 创建的历史快照。 被 安全控制 …
-
ECS安全组实践(二)
本文将介绍安全组的以下几个内容: 授权 和 撤销 安全组规则。 加入安全组 和 离开安全组。 阿里云的网络类型分为 经典网络 和 VPC,它们对安全组支持不同的设置规则: 如果是经典网络,您可以设置以下几个规则:内网入方向、内网出方向、公网入方向和公网出方向。 如果是 VPC 网…
-
OperationLocksType
资源的锁定原因类型。 节点名 OperationLock 子节点 名称 类型 描述 LockReason String 锁定类型 financial:因欠费被锁定 security:因安全原因被锁定 recycling:抢占式实例的待释放锁定状态 dedicatedhostfin…
-
创建一台ECS实例
本文介绍如何使用Terraform创建一台ECS实例。 操作步骤 创建VPC网络和交换机。 创建terraform.tf文件,输入以下内容,并保存在当前的执行目录中。 resource “alicloud_vpc” “vpc” { name = “tf_test_foo” cid…
-
创建预付费云盘
您可以在控制台为预付费实例单独创建预付费云盘来增加系统的存储空间。 注意事项 创建云盘前,您需要了解以下信息: 通过ECS管理控制台的实例页面为预付费实例创建的预付费云盘,此云盘采用预付费(包年包月)方式计费,只能作数据盘使用。 说明 您可以在创建预付费ECS实例时同时创建云盘作…
-
手动建站方式汇总
为了方便您手动搭建网站,本文汇总了各类型网站的部署方式,并提供了教程、ROS模板和云市场镜像链接,让您一键触达,轻松建站。 网站类型 部署方式 说明 WordPress 镜像部署 WordPress 是一款常用的搭建个人博客网站的软件。您可以用WordPress架设自己的网站,也…
