云防火墻通過業務間的流量可視化,幫助用戶了解業務之間的訪問關系,以此判斷執行什么樣的訪問控制策略。
前提條件
在實現流量可視化之前,用戶需先創建業務區、應用組,并將應用添加到業務區和應用組,以建立應用和應用組、業務區之間的關系。
背景信息
您需要提前了解以下概念:
業務區:業務區是東西向業務可視中,構成用戶某個業務的各個應用組的集合,通常是按您實際業務的類型進行分類。例如:門戶網站業務區(將包含Web應用組、DB應用組)等。
應用組:應用組是東西向業務可視中,提供的相同或相似服務的應用集合。例如:所有部署了MySQL的ECS可以歸屬到同一個DB應用組。
應用:應用是東西向業務可視的最小單位。默認情況下,一個應用等于一臺ECS上所有開放端口的集合。您可以通過指定端口克隆應用來創建新的應用。
步驟一:創建業務區
登錄云防火墻控制臺。
在左側導航欄,選擇。
在自定義分組頁面,單擊業務區。
在業務區頁簽,選擇您要創建的業務區所屬的VPC。
重要VPC包括用戶已有的VPC網絡和ECS經典網絡。每個業務區必須并且只能屬于一個VPC。
單擊新建業務區。
在新建業務區對話框中配置業務區信息。
名稱:業務區的命名,手動輸入。長度范圍為1~40個字符。
備注:業務區的備注信息。
程度:業務區的重要程度,幫助您在業務關系可視圖中清晰區分不同重要程度的業務區。可選擇一般、重要和非常重要3個程度。
您可以在應用分組可視頁面,通過篩選不同的重要程度等級,查看對應重要級別的業務區。
單擊確定,完成業務區的創建。
業務區創建完成后,會歸屬到您之前選擇的VPC中。您可在業務區列表中,對業務區基本信息進行編輯或刪除業務區。
說明業務區下存在應用組時,不可刪除業務區。
步驟二:創建應用組
登錄云防火墻控制臺。
在左側導航欄,選擇。
在自定義分組頁面,單擊應用組。
在應用組頁簽,選擇您要創建的應用組所屬的VPC。
單擊新建應用組。
在新建應用組對話框中配置應用組的信息。
名稱:應用組的命名,手動輸入。長度范圍為1~40個字符。
備注:應用組的備注信息。
程度:應用組的重要程度,幫助您在業務關系可視圖中清晰區分不同重要程度的業務區。可選擇一般、重要和非常重要3個程度。
您可以在應用分組可視頁面,雙擊打開某個業務區后,通過篩選不同的重要程度等級,查看對應重要級別的應用組。
業務區:可選選擇已有業務區和新建業務區。
選擇了選擇已有業務區選項,則需在下方名稱下拉框中選擇之前您已創建好的業務區名稱。
重要創建應用組后,該應用組將會被自動加到應用組歸屬的業務區所在的VPC。
如果選擇新建業務區,則需在下方填寫新建業務區的名稱、備注信息并選擇重要程度。
單擊確定,完成應用組的創建。
(可選步驟)單擊操作欄的分配,可修改應用組所屬的業務區。
完成業務區分配后,業務區頁面的應用組數量將會同步更新。
應用組創建完成后,還可在應用組列表中,對應用組的基本信息進行編輯或刪除應用組。
說明應用組下存在應用時,不可刪除應用組。
步驟三:為應用分配應用組和業務區
您可在應用頁面查看云防火墻中已有的業務區、應用組、應用和ECS數量。
登錄云防火墻控制臺。
在左側導航欄,選擇。
在自定義分組頁面,單擊應用。
通過搜索功能定位到需要操作的應用。
單擊操作欄的分配,將該應用添加到之前您已創建好的業務區和應用組中。
說明完成應用分配后,業務區頁面的業務區數量和應用組數量將會同步更新。
(可選步驟)您也可以在應用列表中,單擊右側操作欄的克隆,復制現有的應用。
云防火墻開通后會對每個ECS創建一個默認的應用,訪問ECS的流量會自動映射到該默認應用中。如果ECS中有多個應用屬于不同的業務類型,您可以通過克隆操作創建新的應用,并為該應用分配另一個業務區和應用組。克隆應用時,可對應用所屬的ECS實例ID、偵聽端口和進程名進行修改。