日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 云防火墻 云防火墻CFW 實踐教程 安全運維最佳實踐 云防火墻和運維安全中心(堡壘機)聯合部署訪問策略的最佳實踐

云防火墻和運維安全中心(堡壘機)聯合部署訪問策略的最佳實踐

更新時間:
產品詳情
我的收藏

本文為您介紹如何配置云防火墻和運維安全中心(堡壘機)聯合部署時的訪問策略,避免運維安全中心(堡壘機)訪問被云防火墻誤攔截,影響業務運行。

應用場景

云防火墻可以聯合運維安全中心(堡壘機)共同部署,防護互聯網的訪問流量,為您的業務提供安全保障。但在聯合部署場景中,運維安全中心(堡壘機)的訪問流量可能會被云防火墻誤攔截,導致運維安全中心(堡壘機)無法正常訪問互聯網。因此,我們需要為云防火墻配置互聯網邊界防火墻的訪問控制策略,保證在不影響運維安全中心(堡壘機)業務的情況下,云防火墻可以防護運維安全中心(堡壘機)與互聯網之間的流量。

云防火墻為運維安全中心(堡壘機)提供安全防護的原理圖如下圖所示。

原理圖

如果您未按照以下操作配置,可能會導致無法正常訪問運維安全中心(堡壘機)的業務端口、無法導入資產和用戶,以及無法使用網頁運維和播放錄像。

前提條件

配置流程

lucheng

步驟一:配置入方向的放行策略

配置互聯網邊界防火墻入方向策略,允許互聯網訪問運維安全中心(堡壘機)的開放端口。

  1. 登錄云防火墻控制臺

  2. 在左側導航欄,選擇防護配置 > 訪問控制 > 互聯網邊界

  3. 入向頁簽,單擊創建策略

  4. 創建入向策略面板的自定義創建頁簽,參考入向策略配置項說明表創建一條對互聯網訪問源放行的策略。然后單擊確定

    配置項

    說明

    源類型

    選擇IP類型。

    訪問源

    填寫允許訪問運維安全中心(堡壘機)的互聯網IP地址段。

    目的類型

    選擇IP類型。

    目的

    填寫運維安全中心(堡壘機)運維域名地址解析的IP地址。

    說明

    您可以訪問互聯網邊界防火墻頁面,通過篩選資產類型查看您的運維安全中心(堡壘機)IP地址,而無需切換到運維安全中心(堡壘機)控制臺去查看IP信息。

    協議類型

    選擇TCP

    端口類型

    選擇端口或者地址簿

    當您需要開放多個運維安全中心(堡壘機)端口時,可以將這些端口先配置在地址簿中。在此選擇對應地址簿即可。

    說明

    地址簿用于添加多個IP地址或端口進行批量配置,可簡化您的配置流程。如果您只需要開放一個端口,無需創建地址簿。

    端口

    端口類型選擇端口時,您需要設置運維安全中心(堡壘機)端口。常用的運維安全中心(堡壘機)業務及端口如下,您可以根據實際情況配置。

    • SSH運維:60022

    • RDP運維:63389

    • 錄像播放端口:9443

    • 主機運維端口及運維門戶:443

    • 單點登錄器端口:20045

    應用

    選擇ANY

    動作

    選擇放行,表示允許互聯網地址訪問運維安全中心(堡壘機)對外開放的端口。

    描述

    對訪問控制策略進行描述或備注。輸入該策略的備注內容,便于您后續查看時能快速區分每條策略的目的。

    優先級

    設置訪問控制策略的優先級為最前

    啟用狀態

    設置策略為啟用狀態。

  5. 創建一條對所有互聯網地址拒絕訪問運維安全中心(堡壘機)的策略。

    參考入向策略配置項說明表,設置訪問源為0.0.0.0/0、優先級設置為最后

步驟二:配置出方向的放行策略

運維安全中心(堡壘機)需要通過互聯網訪問云服務,因此需要配置互聯網邊界防火墻出方向策略,允許運維安全中心(堡壘機)對互聯網訪問。

  1. 出向頁簽,單擊創建策略

  2. 創建出向策略面板的自定義創建頁簽,參考出方向策略配置項說明表創建一條對運維安全中心(堡壘機)訪問員放行的策略。然后單擊確定

    配置項

    說明

    源類型

    選擇IP類型。

    訪問源

    填寫運維安全中心(堡壘機)出口IP地址。

    目的類型

    選擇地址簿,并在選擇地址簿面板,選擇云地址簿,搜索阿里云可信域名Alibaba credible domains

    協議類型

    選擇TCP協議類型。

    端口類型

    選擇端口或者地址簿

    當您需要開放多個云服務的端口時,可以將這些端口先配置在地址簿中。在此選擇對應地址簿即可。

    說明

    地址簿用于添加多個IP地址或端口進行批量配置,可簡化您的配置流程。如果您只需要開放一個端口,無需創建地址簿。

    端口

    端口類型選擇端口時,您需要設置運維安全中心(堡壘機)的端口:443、80。

    應用

    選擇HTTPHTTPS

    動作

    選擇放行,表示允許運維安全中心(堡壘機)對外開放的端口訪問互聯網地址。

    描述

    輸入該策略的備注內容,便于您后續查看時能快速區分每條策略的目的。

    優先級

    設置訪問控制策略的優先級為最前

    啟用狀態

    設置策略為啟用狀態。

  3. 創建一條對運維安全中心(堡壘機)所有地址拒絕訪問互聯網的策略。

    參考出方向策略配置項說明表,設置訪問源為0.0.0.0/0、優先級設置為最后

步驟三:開啟云防火墻對運維安全中心的防護

策略配置完成后,您需要開啟互聯網邊界防火墻開關,開啟對運維安全中心(堡壘機)的防護。

  1. 在左側導航欄,單擊防火墻開關

  2. 互聯網邊界頁簽,定位到運維安全中心(堡壘機)的IP,單擊右側操作列的開啟保護

    說明

    新購買的運維安全中心(堡壘機)大概需要15~30分鐘同步到云防火墻。

    完成以上配置后,即可實現云防火墻保護運維安全中心(堡壘機)的同時不影響運維安全中心(堡壘機)業務的正常使用。您可以登錄運維安全中心(堡壘機)導入資產和用戶,進行運維及審計。

步驟四:驗證配置是否成功

如果您能正常訪問運維安全中心(堡壘機)的業務端口、并導入資產和用戶,能使用網頁運維和播放錄像,表示配置成功。您可以訪問互聯網邊界防火墻流量日志頁簽,查看運維安全中心(堡壘機)與互聯網之間的流量日志。具體操作,請參見日志審計