主機邊界防火牆可以對ECS執行個體的入流量和出流量進行存取控制,限制ECS執行個體的未授權訪問。主機邊界防火牆的存取控制策略發布後,會自動同步到ECS安全性群組並生效。本文介紹如何配置主機邊界存取控制策略。
防護主機邊界原理圖
主機邊界存取控制策略優勢
相比於直接通過ECS控制台建立安全性群組規則,通過主機邊界防火牆定義存取控制策略具有以下優勢:
支援策略的批量發布。
同應用組配合,自動建立安全性群組。
在Cloud Firewall控制台可實現策略的統一管控,並且無需切換ECS執行個體所在的地區。
預設情況下,您最多可以建立500個策略組、每個策略組最多可建立500個策略,即在ECS安全性群組建立並同步到Cloud Firewall的策略數量和在Cloud Firewall主機邊界防火牆建立的策略數量加起來不超過500個。如果當前策略數量上限無法滿足您的需求,建議您及時清理無需使用的策略,或者通過配置VPC邊界存取控制策略,減少配置不必要的主機防火牆策略。
策略群組類型
策略組分為普通策略組和企業策略組。
應用情境
普通策略組對應於ECS的普通安全性群組,是一種虛擬防火牆,具備狀態檢測和資料包過濾功能,用於在雲端劃分安全域。您可以通過配置策略組,允許或拒絕策略組內的ECS執行個體的入流量、出流量。該策略組適用於對網路控制要求較高、網路連接數適中的使用者情境。
企業策略組對應於ECS的企業安全性群組,是一種全新的策略群組類型,相比原有的普通策略組,大幅提升了組內容納執行個體數量,不再限制組內私網IP數量,規則配置方式更加簡潔便於維護,適用於對整體規模和營運效率有較高需求的企業級使用者。
對比差異
普通安全性群組和企業安全性群組的差異,請參見普通安全性群組與企業級安全性群組。
前提條件
已開通企業版、旗艦版Cloud Firewall。具體操作,請參見購買Cloud Firewall服務。
配置主機邊界存取控制策略
配置主機邊界防火牆存取控制策略時,您需要先建立策略組(策略組中包含預設策略),然後在該策略組中配置入方向或出方向存取控制策略。完成策略組和策略配置後,必鬚髮布策略組,才能將策略組策略同步到ECS安全性群組並生效。
步驟一:建立策略組
在左側導覽列,選擇防護配置在左側導覽列,選擇。安全组检查。
在主机边界頁面,單擊新增策略組。
在新增策略組對話方塊,配置策略組,然後單擊提交。
配置項
說明
策略組類型
選擇策略組的類型:
普通策略組
企業策略組
策略組名稱
按頁面提示要求設定策略組的名稱。
建議使用方便識別的名稱,便於識別和管理。
所属VPC
選擇應用該策略組的Virtual Private Cloud。 每個策略組只能配置一個VPC。
实例ID
從实例ID下拉式清單中,選擇應用該策略組的一個或多個ECS執行個體。
說明執行個體ID列表只包含所属VPC下的ECS執行個體。
描述
簡短地描述策略組,方便後續對安全性群組進行管理。
範本
從範本下拉式清單中,選擇要應用的模板類型:
default-accept-login:預設允許存取TCP 22、TCP 3389協議入方向訪問和所有出方向訪問。
default-accept-all:預設允許存取所有入方向和出方向訪問。
default-drop-all:預設拒絕所有入方向和出方向訪問。
說明企業策略組不支援default-drop-all選項。
步驟二:配置策略
在主机边界頁面,定位到待設定的策略組,單擊操作列的配置策略。
在入方向或者出方向頁簽,單擊新增策略。
在新增策略對話方塊,配置策略參數,然後單擊提交。
配置項
說明
網卡類型
預設為內網,表示ECS的出方向和入方向的流量。
策略方向
選擇策略生效方向。
入方向:指其他ECS執行個體存取原則組關聯的ECS執行個體。
出方向:指策略組內的ECS執行個體訪問其他ECS執行個體。
策略类型
選擇策略類型。
允許:允許存取相應的訪問流量。
拒絕:直接丟棄資料包,不會返回任何回應資訊。如果兩條策略其他配置都相同,只有策略類型不同,則拒絕策略生效,允許策略不生效。
說明企業策略組不支援拒絕選項。
协议类型
選擇訪問流量的協議類型。
選擇ANY時,表示任何協議類型。不確定訪問流量的類型時可選擇ANY。
埠範圍
輸入訪問流量使用的連接埠位址範圍。
如果填寫連接埠段,例如1~200的所有連接埠,則填寫1/200;如果填寫指定連接埠,例如80連接埠,則填寫80/80。
優先順序
策略生效的優先順序。使用整數表示,取值範圍:1~100。優先順序數值越小,優先順序越高。
優先順序數值可重複。策略優先順序相同時,拒絕類型的策略優先生效。
源類型、源物件
選擇訪問流量的來源,策略方向選擇入方向時需要設定。您可以選擇訪問源地址的類型,並根據源類型設定來源物件。
位址段訪問
選擇該類型後,需要在源物件中手動輸入訪問源位址區段。僅支援設定單個位址區段。
策略組
選擇該類型後,需要從源物件的策略組列表,選擇一個策略組作為來源物件,表示對來自該策略組中所有ECS執行個體的流量進行管控。
說明企業策略組不支援策略組選項。
前缀列表
選擇該類型後,需要從源物件的首碼列表,選擇一個首碼列表作為來源物件,Cloud Firewall能夠對與指定首碼列表的IP地址訪問ECS執行個體的流量進行管控。關於首碼列表的介紹,請參見使用首碼列表提高安全性群組規則管理的效率。
目的選擇
選擇訪問流量的目的地址。策略方向選擇入方向時需要設定。可選擇的目的地址類型:
全部ECS:表示關聯當前策略組的所有ECS執行個體。
位址段訪問:輸入關聯到當前策略組的ECS執行個體的IP地址,採用CIDR位址區段格式。表示僅管控指定地址的ECS執行個體的入方向流量。
源選擇
選擇訪問源的類型。策略方向選擇出方向時需要設定。訪問源包含以下類型:
全部ECS:表示關聯當前策略組的所有ECS執行個體。
位址段訪問:選擇該類型後,需要輸入源IP或CIDR位址區段,表示當前策略組中該位址區段對應的ECS執行個體。
目的类型、目的物件
選擇目的地址的類型並根據選擇的目的類型設定目的對象。策略方向選擇出方向時需要設定。
可選的目的類型如下:
位址段訪問
選擇該類型後,需要手動輸入訪問目的位址區段。僅支援設定單個位址區段。
策略組
選擇該類型後,從策略組列表中選擇一個策略組,表示對本機訪問該策略組中所有ECS執行個體的流量進行管控。
說明企業策略組不支援策略組選項。
前缀列表
選擇該類型後,需要從首碼列表中一個首碼列表,表示對該首碼列表關聯的安全性群組的所有ECS執行個體的流量進行管控。關於首碼列表的介紹,請參見使用首碼列表提高安全性群組規則管理的效率。
描述
策略的描述資訊。
策略組建立完成後,您可以在主機邊界防火牆的策略組列表中查看建立的策略組。
步驟三:發布策略
登入Cloud Firewall控制台。
在左側導覽列,選擇。
在主机边界頁面,定位到需要發布的策略組,單擊操作列下的發佈。
在策略發佈對話方塊,設定變更備忘,確認變更策略(即策略的變更內容),並單擊確定。
策略發布後才會同步到ECS安全性群組並生效。您可以在ECS控制台的頁面,查看Cloud Firewall同步到安全性群組中的存取控制策略。Cloud Firewall建立的策略組策略名稱稱預設為Cloud_Firewall_Security_Group。
同步ECS安全性群組策略
手動同步:在主机边界頁面,單擊同步安全性群組,將ECS安全性群組的策略同步到Cloud Firewall。同步時間需要2~3分鐘。
自動同步:Cloud Firewall每2小時為您自動同步ECS安全性群組的策略資訊。
相關操作
您可以在主機邊界防火牆的策略組列表執行如下操作:
編輯:修改當前策略組包含的ECS執行個體和策略組的描述。
刪除:刪除策略組。
警告刪除策略組後,策略組中的主機存取控制策略會失效,請謹慎操作。刪除策略組後,策略記錄仍會保留在策略組列表中,但您無法再對其執行任何操作。
如果您希望清理不再需要的策略組,則可以將策略組來源設定為自訂,篩選出所有在Cloud Firewall控制台手動建立的策略組,再去判斷策略組是否需要保留。