云防火墙可以统一管理ECS实例之间(东西向)、互联网和ECS实例之间(南北向)的流量。本文介绍如何配置云防火墙并查看业务关系。
背景信息
云防火墙提供防火墙一键开关、入侵检测、主动外联阻断、流量分析、日志等功能。包括主机边界防火墙、互联网边界防火墙和VPC边界防火墙。更多云防火墙概念介绍,请参见云防火墙词汇表。
主机边界防火墙作用于东西向流量,底层使用了ECS安全组的能力。您可以在云防火墙控制台为主机边界防火墙设置内对内策略组,也可以在ECS控制台的安全组中设置规则,来控制东西向(即,ECS实例之间)的访问。云防火墙和ECS安全组的配置自动保持同步。您还可以设置应用组,直观查看ECS实例间的访问关系,从而根据访问情况优化内对内策略。
互联网边界防火墙作用于南北向流量,在互联网和ECS实例间进行访问控制。您可以按需设置设置外对内、内对外策略,在入侵防御的基础上进行策略加固,请参见网络流量活动概览和访问控制策略概览。
使用场景
以下场景建议您使用云防火墙:
- 基于域名的访问控制。
- 基于应用的访问控制。
- 对失陷主机的主动外联进行自动阻断。
- 因等保需求,需要近6个月的访问日志。
前提条件
在使用主机边界防火墙前,您需要:
- 授权云防火墙访问云资源,请参见云防火墙授权说明。
- 确保云防火墙为企业版或旗舰版,请参见云防火墙计费方式。
配置主机边界防火墙
在云防火墙控制台发布策略组后,数据立即同步到安全组,但是在ECS控制台配置安全组后,数据每天在固定时间同步到策略组,需要次日才能看到效果。购买企业版或旗舰版云防火墙后,您可以在云防火墙控制台统一维护东西向的访问控制策略。
参考以下步骤配置主机边界防火墙:
- 登录云防火墙控制台。
- 在左侧导航栏,单击访问控制。
- 单击主机边界防火墙。
说明
策略组来源表示了策略组的来源,
自定义表示在云防火墙中创建,
同步安全组表示同步自ECS安全组,
同步应用组表示同步自应用组。 - 单击新增策略组。
- 配置策略组名称、所属VPC、实例ID、描述和模板,然后单击提交。
说明 配置
所属VPC后,地域也确定为VPC所属的地域,比如华东1。 - (可选)在策略组操作列下单击配置策略,按照业务需求新建策略。
- 在策略组操作列下单击发布,发布成功后即同步到ECS安全组。按照以下步骤查看同步效果:
- 登录云服务器ECS控制台。
- 选择策略组所在地域,比如华东1。
- 在左侧导航栏,单击 。
- 搜索维度选择安全组名称,输入策略组名称,然后单击搜索,出现同名安全组即表示同步成功。
主机边界防火墙配置完成后,即开始控制ECS实例间的访问。在云防火墙中,您还可以设置应用组,可视化呈现业务关系。
查看业务关系
在云防火墙中,业务区是东西向业务中构成用户某个业务的各个应用组的集合,比如门户网站业务区可能包含Web应用组、DB应用组等。应用组是东西向业务中提供的相同/相似服务的应用集合,比如所有部署了MySQL的ECS实例归属到同一个DB应用组,部署了Apache服务的ECS实例归属到同一个Web应用组。
参考以下步骤查看当前ECS实例之间的关系:
- 登录云防火墙控制台。
- 在左侧导航栏,单击 。
- 创建业务区。
- 单击业务区。
- 单击新建业务区。
- 填写名称,比如DB业务、Web业务。
- 填写备注。
- 选择程度,比如非常重要。
- 创建应用组。
- 单击应用组。
- 单击新建应用组。
- 填写名称,比如DB应用组、Web应用组。
- 填写备注。
- 选择程度,比如非常重要。
- 选择业务区类型,比如选择已有业务区。
- 选择业务区,比如DB业务、Web业务。
- 分配应用。
- 选择VPC,比如华东 1 – vpc-xxx。
- 根据业务需要分配应用,比如将部署了MySQL的ECS实例分配至DB应用组,将部署了Apache服务的ECS实例分配至Web应用组。
- 在左侧导航栏,单击业务关系。
- 选择VPC,比如华东 1 – vpc-xxx,即可查看不同业务区的访问关系。您也可以进入应用组和应用层级查看访问关系。
相关文档
- 合理配置访问控制策略
- 通过限制端口控制访问流量
- 对互联网业务进行应用层的深度防御
- 防御数据库入侵
发布者:佚, 佚名,转转请注明出处:https://www.cms2.cn/aliyun/2157.html