本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
主機邊界防火墻可以對ECS實例的入流量和出流量進行訪問控制,限制ECS實例的未授權訪問。主機邊界防火墻的訪問控制策略發布后,會自動同步到ECS安全組并生效。本文介紹如何配置主機邊界訪問控制策略。
防護主機邊界原理圖
主機邊界訪問控制策略優勢
相比于直接通過ECS控制臺創建安全組規則,通過主機邊界防火墻定義訪問控制策略具有以下優勢:
支持策略的批量發布。
同應用組配合,自動創建安全組。
在云防火墻控制臺可實現策略的統一管控,并且無需切換ECS實例所在的地域。
默認情況下,您最多可以創建500個策略組、每個策略組最多可創建500個策略,即在ECS安全組創建并同步到云防火墻的策略數量和在云防火墻主機邊界防火墻創建的策略數量加起來不超過500個。如果當前策略數量上限無法滿足您的需求,建議您及時清理無需使用的策略,或者通過配置VPC邊界訪問控制策略,減少配置不必要的主機防火墻策略。
策略組類型
策略組分為普通策略組和企業策略組。
應用場景
普通策略組對應于ECS的普通安全組,是一種虛擬防火墻,具備狀態檢測和數據包過濾功能,用于在云端劃分安全域。您可以通過配置策略組,允許或拒絕策略組內的ECS實例的入流量、出流量。該策略組適用于對網絡控制要求較高、網絡連接數適中的用戶場景。
企業策略組對應于ECS的企業安全組,是一種全新的策略組類型,相比原有的普通策略組,大幅提升了組內容納實例數量,不再限制組內私網IP數量,規則配置方式更加簡潔便于維護,適用于對整體規模和運維效率有較高需求的企業級用戶。
對比差異
普通安全組和企業安全組的差異,請參見普通安全組與企業級安全組。
前提條件
已開通企業版、旗艦版云防火墻。具體操作,請參見購買云防火墻服務。
配置主機邊界訪問控制策略
配置主機邊界防火墻訪問控制策略時,您需要先創建策略組(策略組中包含默認策略),然后在該策略組中配置入方向或出方向訪問控制策略。完成策略組和策略配置后,必須發布策略組,才能將策略組策略同步到ECS安全組并生效。
步驟一:創建策略組
登錄云防火墻控制臺。
在左側導航欄,選擇。
在主機邊界頁面,單擊新增策略組。
在新增策略組對話框,配置策略組,然后單擊確認。
配置項
說明
策略組類型
選擇策略組的類型:
普通策略組
企業策略組
策略組名稱
按頁面提示要求設置策略組的名稱。
建議使用方便識別的名稱,便于識別和管理。
所屬VPC
選擇應用該策略組的專有網絡VPC。 每個策略組只能配置一個VPC。
實例ID
從實例ID下拉列表中,選擇應用該策略組的一個或多個ECS實例。
說明實例ID列表只包含所屬VPC下的ECS實例。
描述
簡短地描述策略組,方便后續對安全組進行管理。
模板
從模板下拉列表中,選擇要應用的模板類型:
default-accept-login:默認放行TCP 22、TCP 3389協議入方向訪問和所有出方向訪問。
default-accept-all:默認放行所有入方向和出方向訪問。
default-drop-all:默認拒絕所有入方向和出方向訪問。
說明企業策略組不支持default-drop-all選項。
步驟二:配置策略
在主機邊界頁面,定位到待設置的策略組,單擊操作列的配置策略。
在入方向或者出方向頁簽,單擊創建策略。
在創建策略對話框,配置策略參數,然后單擊提交。
配置項
說明
網卡類型
默認為內網,表示ECS的出方向和入方向的流量。
策略方向
選擇策略生效方向。
入方向:指其他ECS實例訪問策略組關聯的ECS實例。
出方向:指策略組內的ECS實例訪問其他ECS實例。
策略類型
選擇策略類型。
允許:放行相應的訪問流量。
拒絕:直接丟棄數據包,不會返回任何回應信息。如果兩條策略其他配置都相同,只有策略類型不同,則拒絕策略生效,允許策略不生效。
說明企業策略組不支持拒絕選項。
協議類型
選擇訪問流量的協議類型。
選擇ANY時,表示任何協議類型。不確定訪問流量的類型時可選擇ANY。
端口范圍
輸入訪問流量使用的端口地址范圍。
如果填寫端口段,例如1~200的所有端口,則填寫1/200;如果填寫指定端口,例如80端口,則填寫80/80。
優先級
策略生效的優先級。使用整數表示,取值范圍:1~100。優先級數值越小,優先級越高。
優先級數值可重復。策略優先級相同時,拒絕類型的策略優先生效。
源類型、源對象
選擇訪問流量的來源,策略方向選擇入方向時需要設置。您可以選擇訪問源地址的類型,并根據源類型設置源對象。
地址段訪問
選擇該類型后,需要在源對象中手動輸入訪問源地址段。僅支持設置單個地址段。
策略組
選擇該類型后,需要從源對象的策略組列表,選擇一個策略組作為源對象,表示對來自該策略組中所有ECS實例的流量進行管控。
說明企業策略組不支持策略組選項。
前綴列表
選擇該類型后,需要從源對象的前綴列表,選擇一個前綴列表作為源對象,云防火墻能夠對與指定前綴列表的IP地址訪問ECS實例的流量進行管控。關于前綴列表的介紹,請參見使用前綴列表提高安全組規則管理的效率。
目的選擇
選擇訪問流量的目的地址。策略方向選擇入方向時需要設置。可選擇的目的地址類型:
全部ECS:表示關聯當前策略組的所有ECS實例。
地址段訪問:輸入關聯到當前策略組的ECS實例的IP地址,采用CIDR地址段格式。表示僅管控指定地址的ECS實例的入方向流量。
源選擇
選擇訪問源的類型。策略方向選擇出方向時需要設置。訪問源包含以下類型:
全部ECS:表示關聯當前策略組的所有ECS實例。
地址段訪問:選擇該類型后,需要輸入源IP或CIDR地址段,表示當前策略組中該地址段對應的ECS實例。
目的類型、目的對象
選擇目的地址的類型并根據選擇的目的類型設置目的對象。策略方向選擇出方向時需要設置。
可選的目的類型如下:
地址段訪問
選擇該類型后,需要手動輸入訪問目的地址段。僅支持設置單個地址段。
策略組
選擇該類型后,從策略組列表中選擇一個策略組,表示對本機訪問該策略組中所有ECS實例的流量進行管控。
說明企業策略組不支持策略組選項。
前綴列表
選擇該類型后,需要從前綴列表中一個前綴列表,表示對該前綴列表關聯的安全組的所有ECS實例的流量進行管控。關于前綴列表的介紹,請參見使用前綴列表提高安全組規則管理的效率。
描述
策略的描述信息。
策略組創建完成后,您可以在主機邊界防火墻的策略組列表中查看新建的策略組。
步驟三:發布策略
登錄云防火墻控制臺。
在左側導航欄,選擇。
在主機邊界頁面,定位到需要發布的策略組,單擊操作列下的發布。
在策略發布對話框,設置變更備注,確認變更策略(即策略的變更內容),并單擊確定。
策略發布后才會同步到ECS安全組并生效。您可以在ECS控制臺的頁面,查看云防火墻同步到安全組中的訪問控制策略。云防火墻創建的策略組策略名稱默認為Cloud_Firewall_Security_Group。
同步ECS安全組策略
手動同步:在主機邊界頁面,單擊同步安全組,將ECS安全組的策略同步到云防火墻。同步時間需要2~3分鐘。
自動同步:云防火墻每2小時為您自動同步ECS安全組的策略信息。
相關操作
您可以在主機邊界防火墻的策略組列表執行如下操作:
編輯:修改當前策略組包含的ECS實例和策略組的描述。
刪除:刪除策略組。
警告刪除策略組后,策略組中的主機訪問控制策略會失效,請謹慎操作。刪除策略組后,策略記錄仍會保留在策略組列表中,但您無法再對其執行任何操作。
如果您希望清理不再需要的策略組,則可以將策略組來源設置為自定義,篩選出所有在云防火墻控制臺手動創建的策略組,再去判斷策略組是否需要保留。