云防火墙可以统一管理ECS实例之间(东西向)、互联网和ECS实例之间(南北向)的流量。本文介绍如何配置云防火墙并查看业务关系。
背景信息
云防火墙提供防火墙一键开关、入侵检测、主动外联阻断、流量分析、日志等功能。包括主机边界防火墙、互联网边界防火墙和VPC边界防火墙。更多云防火墙概念介绍,请参见云防火墙词汇表。
主机边界防火墙作用于东西向流量,底层使用了ECS安全组的能力。您可以在云防火墙控制台为主机边界防火墙设置内对内策略组,也可以在ECS控制台的安全组中设置规则,来控制东西向(即,ECS实例之间)的访问。云防火墙和ECS安全组的配置自动保持同步。您还可以设置应用组,直观查看ECS实例间的访问关系,从而根据访问情况优化内对内策略。
互联网边界防火墙作用于南北向流量,在互联网和ECS实例间进行访问控制。您可以按需设置设置外对内、内对外策略,在入侵防御的基础上进行策略加固,请参见网络流量活动概览和访问控制策略概览。
使用场景
以下场景建议您使用云防火墙:
- 基于域名的访问控制。
- 基于应用的访问控制。
- 对失陷主机的主动外联进行自动阻断。
- 因等保需求,需要近6个月的访问日志。
前提条件
在使用主机边界防火墙前,您需要:
- 授权云防火墙访问云资源,请参见云防火墙授权说明。
- 确保云防火墙为企业版或旗舰版,请参见云防火墙计费方式。
配置主机边界防火墙
在云防火墙控制台发布策略组后,数据立即同步到安全组,但是在ECS控制台配置安全组后,数据每天在固定时间同步到策略组,需要次日才能看到效果。购买企业版或旗舰版云防火墙后,您可以在云防火墙控制台统一维护东西向的访问控制策略。
参考以下步骤配置主机边界防火墙:
- 登录云防火墙控制台。
- 在左侧导航栏,单击访问控制。
- 单击主机边界防火墙。
说明
策略组来源表示了策略组的来源,
自定义表示在云防火墙中创建,
同步安全组表示同步自ECS安全组,
同步应用组表示同步自应用组。 - 单击新增策略组。
- 配置策略组名称、所属VPC、实例ID、描述和模板,然后单击提交。
说明 配置
所属VPC后,地域也确定为VPC所属的地域,比如华东1。 - (可选)在策略组操作列下单击配置策略,按照业务需求新建策略。
- 在策略组操作列下单击发布,发布成功后即同步到ECS安全组。按照以下步骤查看同步效果:
- 登录云服务器ECS控制台。
- 选择策略组所在地域,比如华东1。
- 在左侧导航栏,单击。
- 搜索维度选择安全组名称,输入策略组名称,然后单击搜索,出现同名安全组即表示同步成功。
主机边界防火墙配置完成后,即开始控制ECS实例间的访问。在云防火墙中,您还可以设置应用组,可视化呈现业务关系。
查看业务关系
在云防火墙中,业务区是东西向业务中构成用户某个业务的各个应用组的集合,比如门户网站业务区可能包含Web应用组、DB应用组等。应用组是东西向业务中提供的相同/相似服务的应用集合,比如所有部署了MySQL的ECS实例归属到同一个DB应用组,部署了Apache服务的ECS实例归属到同一个Web应用组。
参考以下步骤查看当前ECS实例之间的关系:
- 登录云防火墙控制台。
- 在左侧导航栏,单击。
- 创建业务区。
- 单击业务区。
- 单击新建业务区。
- 填写名称,比如DB业务、Web业务。
- 填写备注。
- 选择程度,比如非常重要。
- 创建应用组。
- 单击应用组。
- 单击新建应用组。
- 填写名称,比如DB应用组、Web应用组。
- 填写备注。
- 选择程度,比如非常重要。
- 选择业务区类型,比如选择已有业务区。
- 选择业务区,比如DB业务、Web业务。
- 分配应用。
- 选择VPC,比如华东 1 – vpc-xxx。
- 根据业务需要分配应用,比如将部署了MySQL的ECS实例分配至DB应用组,将部署了Apache服务的ECS实例分配至Web应用组。
- 在左侧导航栏,单击业务关系。
- 选择VPC,比如华东 1 – vpc-xxx,即可查看不同业务区的访问关系。您也可以进入应用组和应用层级查看访问关系。
相关文档
- 合理配置访问控制策略
- 通过限制端口控制访问流量
- 对互联网业务进行应用层的深度防御
- 防御数据库入侵
发布者:佚, 佚名,转转请注明出处:https://www.cms2.cn/aliyun/2157.html
微信扫一扫
相关推荐
-
共享型
本文介绍入门级实例规格族xn4、n4、mn4和e4,并列出了具体的实例规格。 上一代入门级实例规格族 xn4/n4/mn4/e4 规格族特点 处理器:2.5 GHz主频的Intel Xeon E5-2682 v4(Broadwell) 搭配DDR4内存 多种处理器和内存配比 规格…
-
阿里云ECS预付费付款是怎么回事?(包年包月)
预付费是指您需要先付费才能使用资源。根据计费周期不同,预付费可以分为: 按周付费:计费周期为一周。 包年包月:计费周期为月或年。 适用资源 在ECS服务中,采用预付费计费的资源包括: ECS实例,包括vCPU核数和内存容量。 随预付费实例一起购买的云盘,包括系统盘和数据盘。 来源…
-
CreateLaunchTemplate
创建一个实例启动模板,简称模板。实例启动模板能免除您每次创建实例时都需要填入大量配置参数。 描述 实例启动模板中包含用于创建实例的相关配置,例如实例所属地域、镜像ID、实例规格、安全组ID和公网带宽等。如果模板中没有指定某一实例配置,您需要在创建实例时为实例指定该配置。创建模板(…
-
按量付费实例停机不收费
按量付费的VPC类型实例可以开启停机不收费功能,vCPU、内存和公网IP不再产生费用,但云盘仍旧计费。 定义 实例停机不收费 是指通过 控制台、StopInstance 接口或者 阿里云CLI 使按量付费的VPC类型ECS实例进入 已停止(Stopped)状态后,该实例的计算资源…
-
用快照创建云盘
您可以通过控制台或者API接口使用云盘(无论是系统盘还是数据盘)的快照单独创建云盘。创建的云盘可以挂载到同一地域同一可用区下的任何一台ECS实例上。本文介绍如何在ECS控制台上使用一份快照单独创建一块全新的云盘。 应用场景 您可能需要获取快照中的某些数据,但又不希望通过 回滚云盘…
-
客户端错误
本文介绍客户端错误信息。 HttpCode 错误码 错误信息 描述 400 MissingParameter The input parameter <parameter name> that is mandatory for processing this requ…