背景信息

隨著企業上云的進一步深入，越來越多的企業業務遷移至云端，企業購買的云資源迅速增多，資源、項目、人員、權限管理變得極其復雜，單賬號負載過重已無力支撐，多賬號上云模式逐漸成為多業務上云的重要選擇。企業用戶對于跨賬號的云資源具有集中化管理需求，主要體現在安全、審計合規、網絡、運維等產品。

基于以上需求，云防火墻支持通過阿里云資源管理的可信服務功能，將多個阿里云賬號匯總到一個資源目錄（其中每個阿里云賬號表示一個成員賬號），并委派特定的成員作為管理員，使其可以訪問資源目錄下所有成員賬號包含的資源，實現多個阿里云賬號的公網資產和VPC資產統一引流保護、策略配置、流量分析、入侵防護、攻擊防護、失陷感知、日志審計分析。

場景示例

• 網絡部署

  某企業阿里云賬號A在華北2（北京）地域部署了BJ-VPC1、BJ-VPC2兩個VPC實例，BJ-VPC1下部署了1臺BJ-VPC1-ECS1實例，BJ-VPC2下部署了1臺BJ-VPC2-ECS2實例；阿里云賬號B在華北2（北京）地域部署了BJ-VPC3、BJ-VPC4兩個VPC實例，BJ-VPC3下部署了1臺BJ-VPC3-ECS3實例，BJ-VPC4下部署了1臺BJ-VPC4-ECS4實例。并且使用VPC對等連接功能實現了BJ-VPC1和BJ-VPC2，BJ-VPC3和BJ-VPC4的流量互通。

• 需求及方案

  該企業現在需要只在阿里云賬號A開通云防火墻的情況下，檢測BJ-VPC1和BJ-VPC2之間的流量、BJ-VPC3和BJ-VPC4之間的流量，并保障VPC之間流量互訪安全，且滿足BJ-VPC1-ECS1不能訪問BJ-VPC2-ECS2。基于上述訴求，該企業可以使用云防火墻統一賬號管理、VPC邊界防火墻、訪問控制功能實現業務需求。

場景示意如下：

前提條件

• 已為企業管理員賬號開通資源目錄。具體操作，請參見開通資源目錄。

• 已為阿里云賬號A開通云防火墻高級版、企業版、旗艦版和按量付費版。詳細信息，請參見包年包月。

  說明

  如需添加更多成員賬號，您需要升級云防火墻規格，擴充多賬號管控數。

• 已為阿里云賬號A、阿里云賬號B分別部署了2個相同地域的專有網絡VPC。具體操作，請參見創建和管理專有網絡。

• 已為阿里云賬號A、阿里云賬號B部署的VPC分別購買了兩臺ECS實例。具體操作，請參見創建云資源。

• 已為阿里云賬號A、阿里云賬號B下的VPC分別建立VPC對等連接。具體操作，請參見創建和管理VPC對等連接。

配置流程

步驟一：邀請資源目錄的成員

企業管理賬號可以邀請資源目錄以外的阿里云賬號加入到資源目錄，作為資源目錄的成員，實現資源的統一管理。

1. 使用企業管理員賬號登錄資源管理控制臺。

2. 在左側導航欄，選擇資源目錄 > 邀請成員。

3. 單擊邀請成員。

4. 在邀請成員面板，填寫邀請的賬號UID/賬號登錄郵箱為阿里云賬號A的ID（135809047715****）和阿里云賬號B的ID（166032244439****），確認并勾選風險提示。

   說明

   此處郵箱是注冊賬號時的登錄郵箱，而非注冊賬號后綁定的備用郵箱。您可以一次性輸入多個阿里云賬號實現批量邀請，使用半角逗號（,）分隔。

5. 單擊確定。

步驟二：為資源目錄添加委派管理員

通過委派管理員賬號，可以將組織管理任務與業務管理任務相分離，企業管理賬號執行資源目錄的組織管理任務，委派管理員賬號執行可信服務的業務管理任務。本文示例中，委派管理員賬號即阿里云賬號A。

1. 使用企業管理員賬號登錄資源管理控制臺。

2. 在左側導航欄，選擇資源目錄 > 可信服務。
3. 在可信服務頁面，單擊目標可信服務操作列的管理。
4. 在委派管理員賬號區域，單擊添加。

5. 在委派管理員賬號面板，選中阿里云賬號A的ID（135809047715****）。

6. 單擊確定。
   添加成功后，使用該委派管理員賬號訪問對應可信服務的多賬號管理模塊，即可進行資源目錄組織范圍內的管理操作。

步驟三：添加云防火墻成員賬號

云防火墻支持通過阿里云資源管理的可信服務功能，將多個阿里云賬號匯總到一個資源目錄（其中每個阿里云賬號表示一個成員賬號），實現資源目錄下所有成員賬號之間共享資源。

1. 使用阿里云賬號A登錄云防火墻控制臺。

2. 在左側導航欄，選擇系統設置 > 多賬號統一管理。

3. 在多賬號統一管理頁面，單擊添加成員賬號。

4. 在添加成員賬號對話框，將阿里云賬號B的ID（166032244439****）添加到右側已選導入云防火墻成員賬號列表。

5. 在右側已選導入云防火墻成員賬號列表，選擇阿里云賬號B的ID（166032244439****），單擊確定。

   此時，阿里云賬號A（135809047715****）成功添加阿里云賬號B（166032244439****）為它的成員賬號。

步驟四：創建VPC邊界防火墻

當兩個VPC已建立VPC對等連接，可以通過創建VPC邊界防火墻，幫助您檢測兩個VPC間的通信流量。

1. 使用阿里云賬號A登錄云防火墻控制臺。在左側導航欄，單擊防火墻開關。

2. 在防火墻開關頁面，單擊VPC邊界防火墻。

3. 在高速通道頁簽，定位到VPC實例為BJ-VPC1和對端VPC實例為BJ-VPC2的數據，單擊右側操作列的創建。

   云防火墻每隔半小時會為您自動同步一次資源。如果您剛創建好資源，需耐心等待半個小時。

4. 在創建VPC邊界防火墻對話框，配置如下信息。然后單擊提交。

   配置項	說明	示例
   實例名	定義VPC邊界防火墻的名稱。該名稱用于識別VPC邊界防火墻實例，建議您使用具有業務意義的名稱，并保證名稱的唯一性。	統一賬號管理test
   對等互通方式	確認互通方式。對等互通方式指VPC之間或VPC與本地數據中心之間的通信方式，此處固定為高速通道，無需您手動設置。	高速通道
   確認VPC的相關信息	確認VPC地域和VPC實例，選擇要防護的路由表，并填寫目標網段。	本端VPC： 地域：華北2（北京） VPC：vpc-2zekde0udtz2s1hn9****-BJ-VPC1 防火墻IP/網卡：10.33.33.15-eni-2zeau3rre2q3llavidw0 路由表：vtb-2zeo25fbkcvc2lx7j**** 目標網段：10.66.66.0/24 對端VPC： 地域：華北2（北京） VPC：vpc-2zey3h1i556yn5orn****-BJ-VPC2 防火墻IP/網卡：10.66.66.92-eni-2zeau3rre2q3llavidw0 路由表：vtb-2zeo25**** 目標網段：10.33.33.0/24
   入侵防御	云防火墻內置了威脅檢測引擎，實現入侵防御（IPS）的功能，可針對互聯網側的南北向流量和VPC邊界的東西向流量實時攔截網絡入侵行為。	IPS防御模式：攔截模式。 IPS防御能力：基礎規則和虛擬補丁。
   開啟VPC防火墻開關	開啟防火墻開關后，則在創建VPC邊界防火墻后，自動開啟VPC邊界防火墻開關。默認是關閉狀態。	開啟防火墻開關

5. 在高速通道頁簽，定位到VPC實例為BJ-VPC3和對端VPC實例為BJ-VPC4的數據，單擊右側操作列的創建。

6. 在創建VPC邊界防火墻對話框，配置如下信息。然后單擊提交。

   配置項	說明	示例
   實例名	定義VPC邊界防火墻的名稱。該名稱用于識別VPC邊界防火墻實例，建議您使用具有業務意義的名稱，并保證名稱的唯一性。	統一賬號管理test02
   對等互通方式	確認互通方式。對等互通方式指VPC之間或VPC與本地數據中心之間的通信方式，此處固定為高速通道，無需您手動設置。	高速通道
   確認VPC的相關信息	確認VPC地域和VPC實例，選擇要防護的路由表，并填寫目標網段。	本端VPC： 地域：華北2（北京） VPC ID：vpc-2ze9epancaw8t4sha****-VPC3-ECS3 防火墻IP/網卡：10.10.10.46-eni-2ze0if806m1f08w5**** 路由表：vtb-2zekhldj6y24xm6vi**** 目標網段：10.10.11.0/24 對端VPC： 地域：華北2（北京） VPC：vpc-2ze3rb2rf1rqo3peo****-BJ-VPC4 防火墻IP/網卡：10.10.11.116-eni-2ze24sw34yq9n8ae**** 路由表：vtb-2zestg1kxe9it54yu**** 目標網段：10.10.10.0/24
   入侵防御	云防火墻內置了威脅檢測引擎實現入侵防御（IPS）的功能，可針對互聯網側的南北向流量和VPC邊界的東西向流量實時攔截網絡入侵行為。	IPS防御模式：攔截模式。 IPS防御能力：基礎規則和虛擬補丁。
   開啟VPC防火墻開關	開啟防火墻開關后，則在創建VPC邊界防火墻后，自動開啟VPC邊界防火墻開關。默認是關閉狀態。	開啟防火墻開關

   

步驟五：配置訪問控制策略

VPC邊界防火墻可用于檢測兩個VPC間的通信流量，如果您只配置了VPC邊界防火墻，此時兩個VPC間的所有流量均為放行狀態。您可以設置VPC邊界防火墻的訪問控制策略，精細化管理VPC下的資產。本示例中，您需要實現阿里云賬號A的BJ-VPC1-ECS1不能訪問BJ-VPC2-ECS2。

1. 使用阿里云賬號A登錄云防火墻控制臺。

2. 在左側導航欄，選擇防護配置 > 訪問控制 > VPC邊界。

3. 在VPC邊界頁面，單擊創建策略。

4. 在創建策略-VPC邊界面板，配置如下信息。

   配置項	說明	攔截策略示例值
   源類型	訪問源地址的類型。	IP
   訪問源	發送流量的源地址。	10.33.33.17/32
   目的類型	設置目的地址類型。	IP
   目的	設置接收流量的目的地址。	10.66.66.94/32
   協議類型	選擇傳輸協議類型。	TCP
   端口類型	選擇端口類型。	端口
   端口	設置需要放開或限制的端口。可根據端口類型的配置項，手動輸入單個端口，或者單擊選擇，從地址簿中選擇預先配置的端口地址簿。	80
   應用	選擇應用。	ANY
   動作	允許或拒絕該流量通過VPC邊界防火墻。	攔截
   描述	對訪問控制策略進行描述或備注。輸入該策略的備注內容，便于您后續查看時能快速區分每條策略的目的。	統一賬號管理攔截策略
   優先級	設置訪問控制策略的優先級。默認優先級為最后。	最后

5. 單擊確認。

   

步驟六：查看流量日志和入侵防御信息

當您的資產進行訪問時，可以通過云防火墻VPC互訪功能查看VPC專有網絡之間的流量信息，幫助您實時獲取VPC網絡流量信息，及時發現和排查異常流量，從而更快地發現和檢測出攻擊。具體操作，請參見VPC互訪。您也可以查看VPC之間的流量日志和入侵防御信息，確保您配置的正確性，并根據查詢結果，排查是否存在異常流量。如果存在異常流量，即不符合您的業務需求，可以設置其他訪問控制策略或者防護配置信息。

查看VPC之間的流量日志

1. 使用阿里云賬號A登錄云防火墻控制臺。

2. 在左側導航欄，選擇日志監控 > 日志審計

3. 在日志審計頁面，單擊流量日志，再單擊VPC邊界。

4. 在VPC邊界頁簽，查詢阿里云賬號A和阿里云賬號B部署的VPC之間的流量。

   • 查詢BJ-VPC2-ECS2成功訪問BJ-VPC1-ECS1的流量日志：設置源IP為BJ-VPC2-ECS2的IP（10.66.66.94），目的IP為BJ-VPC1-ECS1的IP（10.33.33.17）。

     BJ-VPC2-ECS2成功訪問BJ-VPC1-ECS1，表示已經成功將阿里云賬號A部署的兩個VPC的流量引流到云防火墻。

   • 查詢BJ-VPC3-ECS3成功訪問BJ-VPC4-ECS4的流量日志：設置源IP為BJ-VPC3-ECS3的IP（10.10.10.44），目的IP為BJ-VPC4-ECS4的IP（10.10.11.115）。

     BJ-VPC3-ECS3成功訪問BJ-VPC4-ECS4，表示已經成功將阿里云賬號B部署的兩個VPC的流量引流到云防火墻。

5. 在VPC邊界頁簽，設置源IP為BJ-VPC1-ECS1的IP（10.33.33.17），目的IP為BJ-VPC2-ECS2的IP（10.66.66.94），查詢BJ-VPC2-ECS2攔截BJ-VPC1-ECS1的訪問流量日志。

   BJ-VPC2-ECS2攔截BJ-VPC1-ECS1的流量日志，表示您配置的訪問控制策略已生效，已成功攔截阿里云賬號A的BJ-VPC1-ECS1訪問BJ-VPC2-ECS2的流量，實現安全隔離企業的資產。

查看VPC防護的入侵防御信息

1. 使用阿里云賬號A登錄云防火墻控制臺。

2. 在左側導航欄，選擇檢測響應 > 入侵防御。

3. 在入侵防御頁面的VPC防護頁簽，設置查詢條件，查詢入侵防御的信息。

   查詢到ECS的入侵防御事件，表示云防火墻可以及時檢測阿里云賬號A部署的BJ-VPC1-ECS1和BJ-VPC2-ECS2不安全的通信，防止企業的資產被入侵。

   說明

   因為已經配置了BJ-VPC1-ECS1到BJ-VPC2-ECS2的拒絕策略，BJ-VPC1-ECS1到BJ-VPC2-ECS2的流量命中了訪問控制策略，此時，BJ-VPC1-ECS1到BJ-VPC2-ECS2的流量就不會在入侵防御中顯示。

4. 單擊詳情，在基本信息面板，查看目標攻擊事件的詳細信息。

   

相關問題

關于多賬號統一管理的具體操作，請參見多賬號統一管理。