云防火墻和運(yùn)維安全中心(堡壘機(jī))聯(lián)合部署訪問策略的最佳實(shí)踐
本文為您介紹如何配置云防火墻和運(yùn)維安全中心(堡壘機(jī))聯(lián)合部署時(shí)的訪問策略,避免運(yùn)維安全中心(堡壘機(jī))訪問被云防火墻誤攔截,影響業(yè)務(wù)運(yùn)行。
應(yīng)用場景
云防火墻可以聯(lián)合運(yùn)維安全中心(堡壘機(jī))共同部署,防護(hù)互聯(lián)網(wǎng)的訪問流量,為您的業(yè)務(wù)提供安全保障。但在聯(lián)合部署場景中,運(yùn)維安全中心(堡壘機(jī))的訪問流量可能會(huì)被云防火墻誤攔截,導(dǎo)致運(yùn)維安全中心(堡壘機(jī))無法正常訪問互聯(lián)網(wǎng)。因此,我們需要為云防火墻配置互聯(lián)網(wǎng)邊界防火墻的訪問控制策略,保證在不影響運(yùn)維安全中心(堡壘機(jī))業(yè)務(wù)的情況下,云防火墻可以防護(hù)運(yùn)維安全中心(堡壘機(jī))與互聯(lián)網(wǎng)之間的流量。
云防火墻為運(yùn)維安全中心(堡壘機(jī))提供安全防護(hù)的原理圖如下圖所示。
如果您未按照以下操作配置,可能會(huì)導(dǎo)致無法正常訪問運(yùn)維安全中心(堡壘機(jī))的業(yè)務(wù)端口、無法導(dǎo)入資產(chǎn)和用戶,以及無法使用網(wǎng)頁運(yùn)維和播放錄像。
前提條件
已購買云防火墻。具體步驟,請參見購買云防火墻服務(wù)。
已購買并啟用運(yùn)維安全中心(堡壘機(jī))。具體步驟,請參見購買運(yùn)維安全中心實(shí)例、啟用堡壘機(jī)。
配置流程
步驟一:配置入方向的放行策略
配置互聯(lián)網(wǎng)邊界防火墻入方向策略,允許互聯(lián)網(wǎng)訪問運(yùn)維安全中心(堡壘機(jī))的開放端口。
登錄云防火墻控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇。
在入向頁簽,單擊創(chuàng)建策略。
在創(chuàng)建入向策略面板的自定義創(chuàng)建頁簽,參考入向策略配置項(xiàng)說明表創(chuàng)建一條對互聯(lián)網(wǎng)訪問源放行的策略。然后單擊確定。
配置項(xiàng)
說明
源類型
選擇IP類型。
訪問源
填寫允許訪問運(yùn)維安全中心(堡壘機(jī))的互聯(lián)網(wǎng)IP地址段。
目的類型
選擇IP類型。
目的
填寫運(yùn)維安全中心(堡壘機(jī))運(yùn)維域名地址解析的IP地址。
說明您可以訪問互聯(lián)網(wǎng)邊界防火墻頁面,通過篩選資產(chǎn)類型查看您的運(yùn)維安全中心(堡壘機(jī))IP地址,而無需切換到運(yùn)維安全中心(堡壘機(jī))控制臺(tái)去查看IP信息。
協(xié)議類型
選擇TCP。
端口類型
選擇端口或者地址簿。
當(dāng)您需要開放多個(gè)運(yùn)維安全中心(堡壘機(jī))端口時(shí),可以將這些端口先配置在地址簿中。在此選擇對應(yīng)地址簿即可。
說明地址簿用于添加多個(gè)IP地址或端口進(jìn)行批量配置,可簡化您的配置流程。如果您只需要開放一個(gè)端口,無需創(chuàng)建地址簿。
端口
當(dāng)端口類型選擇端口時(shí),您需要設(shè)置運(yùn)維安全中心(堡壘機(jī))端口。常用的運(yùn)維安全中心(堡壘機(jī))業(yè)務(wù)及端口如下,您可以根據(jù)實(shí)際情況配置。
SSH運(yùn)維:60022
RDP運(yùn)維:63389
錄像播放端口:9443
主機(jī)運(yùn)維端口及運(yùn)維門戶:443
單點(diǎn)登錄器端口:20045
應(yīng)用
選擇ANY。
動(dòng)作
選擇放行,表示允許互聯(lián)網(wǎng)地址訪問運(yùn)維安全中心(堡壘機(jī))對外開放的端口。
描述
對訪問控制策略進(jìn)行描述或備注。輸入該策略的備注內(nèi)容,便于您后續(xù)查看時(shí)能快速區(qū)分每條策略的目的。
優(yōu)先級
設(shè)置訪問控制策略的優(yōu)先級為最前。
啟用狀態(tài)
設(shè)置策略為啟用狀態(tài)。
創(chuàng)建一條對所有互聯(lián)網(wǎng)地址拒絕訪問運(yùn)維安全中心(堡壘機(jī))的策略。
參考入向策略配置項(xiàng)說明表,設(shè)置訪問源為0.0.0.0/0、優(yōu)先級設(shè)置為最后。
步驟二:配置出方向的放行策略
運(yùn)維安全中心(堡壘機(jī))需要通過互聯(lián)網(wǎng)訪問云服務(wù),因此需要配置互聯(lián)網(wǎng)邊界防火墻出方向策略,允許運(yùn)維安全中心(堡壘機(jī))對互聯(lián)網(wǎng)訪問。
在出向頁簽,單擊創(chuàng)建策略。
在創(chuàng)建出向策略面板的自定義創(chuàng)建頁簽,參考出方向策略配置項(xiàng)說明表創(chuàng)建一條對運(yùn)維安全中心(堡壘機(jī))訪問員放行的策略。然后單擊確定。
配置項(xiàng)
說明
源類型
選擇IP類型。
訪問源
填寫運(yùn)維安全中心(堡壘機(jī))出口IP地址。
目的類型
選擇地址簿,并在選擇地址簿面板,選擇云地址簿,搜索阿里云可信域名Alibaba credible domains。
協(xié)議類型
選擇TCP協(xié)議類型。
端口類型
選擇端口或者地址簿。
當(dāng)您需要開放多個(gè)云服務(wù)的端口時(shí),可以將這些端口先配置在地址簿中。在此選擇對應(yīng)地址簿即可。
說明地址簿用于添加多個(gè)IP地址或端口進(jìn)行批量配置,可簡化您的配置流程。如果您只需要開放一個(gè)端口,無需創(chuàng)建地址簿。
端口
當(dāng)端口類型選擇端口時(shí),您需要設(shè)置運(yùn)維安全中心(堡壘機(jī))的端口:443、80。
應(yīng)用
選擇HTTP 、HTTPS。
動(dòng)作
選擇放行,表示允許運(yùn)維安全中心(堡壘機(jī))對外開放的端口訪問互聯(lián)網(wǎng)地址。
描述
輸入該策略的備注內(nèi)容,便于您后續(xù)查看時(shí)能快速區(qū)分每條策略的目的。
優(yōu)先級
設(shè)置訪問控制策略的優(yōu)先級為最前。
啟用狀態(tài)
設(shè)置策略為啟用狀態(tài)。
創(chuàng)建一條對運(yùn)維安全中心(堡壘機(jī))所有地址拒絕訪問互聯(lián)網(wǎng)的策略。
參考出方向策略配置項(xiàng)說明表,設(shè)置訪問源為0.0.0.0/0、優(yōu)先級設(shè)置為最后。
步驟三:開啟云防火墻對運(yùn)維安全中心的防護(hù)
策略配置完成后,您需要開啟互聯(lián)網(wǎng)邊界防火墻開關(guān),開啟對運(yùn)維安全中心(堡壘機(jī))的防護(hù)。
在左側(cè)導(dǎo)航欄,單擊防火墻開關(guān)。
在互聯(lián)網(wǎng)邊界頁簽,定位到運(yùn)維安全中心(堡壘機(jī))的IP,單擊右側(cè)操作列的開啟保護(hù)。
說明新購買的運(yùn)維安全中心(堡壘機(jī))大概需要15~30分鐘同步到云防火墻。
完成以上配置后,即可實(shí)現(xiàn)云防火墻保護(hù)運(yùn)維安全中心(堡壘機(jī))的同時(shí)不影響運(yùn)維安全中心(堡壘機(jī))業(yè)務(wù)的正常使用。您可以登錄運(yùn)維安全中心(堡壘機(jī))導(dǎo)入資產(chǎn)和用戶,進(jìn)行運(yùn)維及審計(jì)。
步驟四:驗(yàn)證配置是否成功
如果您能正常訪問運(yùn)維安全中心(堡壘機(jī))的業(yè)務(wù)端口、并導(dǎo)入資產(chǎn)和用戶,能使用網(wǎng)頁運(yùn)維和播放錄像,表示配置成功。您可以訪問互聯(lián)網(wǎng)邊界防火墻流量日志頁簽,查看運(yùn)維安全中心(堡壘機(jī))與互聯(lián)網(wǎng)之間的流量日志。具體操作,請參見日志審計(jì)。