主机边界防火墙可以对ECS实例的入流量和出流量进行访问控制,限制ECS实例的未授权访问。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。本文介绍如何配置主机边界访问控制策略。
防护主机边界原理图
主机边界访问控制策略优势
相比于直接通过ECS控制台创建安全组规则,通过主机边界防火墙定义访问控制策略具有以下优势:
支持策略的批量发布。
同应用组配合,自动创建安全组。
在云防火墙控制台可实现策略的统一管控,并且无需切换ECS实例所在的地域。
默认情况下,您最多可以创建500个策略组、每个策略组最多可创建500个策略,即在ECS安全组创建并同步到云防火墙的策略数量和在云防火墙主机边界防火墙创建的策略数量加起来不超过500个。如果当前策略数量上限无法满足您的需求,建议您及时清理无需使用的策略,或者通过配置VPC边界访问控制策略,减少配置不必要的主机防火墙策略。
策略组类型
策略组分为普通策略组和企业策略组。
应用场景
普通策略组对应于ECS的普通安全组,是一种虚拟防火墙,具备状态检测和数据包过滤功能,用于在云端划分安全域。您可以通过配置策略组,允许或拒绝策略组内的ECS实例的入流量、出流量。该策略组适用于对网络控制要求较高、网络连接数适中的用户场景。
企业策略组对应于ECS的企业安全组,是一种全新的策略组类型,相比原有的普通策略组,大幅提升了组内容纳实例数量,不再限制组内私网IP数量,规则配置方式更加简洁便于维护,适用于对整体规模和运维效率有较高需求的企业级用户。
对比差异
普通安全组和企业安全组的差异,请参见普通安全组与企业级安全组。
前提条件
已开通企业版、旗舰版云防火墙。具体操作,请参见购买云防火墙服务。
配置主机边界访问控制策略
配置主机边界防火墙访问控制策略时,您需要先创建策略组(策略组中包含默认策略),然后在该策略组中配置入方向或出方向访问控制策略。完成策略组和策略配置后,必须发布策略组,才能将策略组策略同步到ECS安全组并生效。
步骤一:创建策略组
登录云防火墙控制台。
在左侧导航栏,选择 。
在主机边界页面,单击新增策略组。
在新增策略组对话框,配置策略组,然后单击确认。
配置项
说明
策略组类型
选择策略组的类型:
普通策略组
企业策略组
策略组名称
按页面提示要求设置策略组的名称。
建议使用方便识别的名称,便于识别和管理。
所属VPC
选择应用该策略组的专有网络VPC。 每个策略组只能配置一个VPC。
实例ID
从实例ID下拉列表中,选择应用该策略组的一个或多个ECS实例。
说明实例ID列表只包含所属VPC下的ECS实例。
描述
简短地描述策略组,方便后续对安全组进行管理。
模板
从模板下拉列表中,选择要应用的模板类型:
default-accept-login:默认放行TCP 22、TCP 3389协议入方向访问和所有出方向访问。
default-accept-all:默认放行所有入方向和出方向访问。
default-drop-all:默认拒绝所有入方向和出方向访问。
说明企业策略组不支持default-drop-all选项。
步骤二:配置策略
在主机边界页面,定位到待设置的策略组,单击操作列的配置策略。
在入方向或者出方向页签,单击创建策略。
在创建策略对话框,配置策略参数,然后单击提交。
配置项
说明
网卡类型
默认为内网,表示ECS的出方向和入方向的流量。
策略方向
选择策略生效方向。
入方向:指其他ECS实例访问策略组关联的ECS实例。
出方向:指策略组内的ECS实例访问其他ECS实例。
策略类型
选择策略类型。
允许:放行相应的访问流量。
拒绝:直接丢弃数据包,不会返回任何回应信息。如果两条策略其他配置都相同,只有策略类型不同,则拒绝策略生效,允许策略不生效。
说明企业策略组不支持拒绝选项。
协议类型
选择访问流量的协议类型。
选择ANY时,表示任何协议类型。不确定访问流量的类型时可选择ANY。
端口范围
输入访问流量使用的端口地址范围。
如果填写端口段,例如1~200的所有端口,则填写1/200;如果填写指定端口,例如80端口,则填写80/80。
优先级
策略生效的优先级。使用整数表示,取值范围:1~100。优先级数值越小,优先级越高。
优先级数值可重复。策略优先级相同时,拒绝类型的策略优先生效。
源类型、源对象
选择访问流量的来源,策略方向选择入方向时需要设置。您可以选择访问源地址的类型,并根据源类型设置源对象。
地址段访问
选择该类型后,需要在源对象中手动输入访问源地址段。仅支持设置单个地址段。
策略组
选择该类型后,需要从源对象的策略组列表,选择一个策略组作为源对象,表示对来自该策略组中所有ECS实例的流量进行管控。
说明企业策略组不支持策略组选项。
前缀列表
选择该类型后,需要从源对象的前缀列表,选择一个前缀列表作为源对象,云防火墙能够对与指定前缀列表的IP地址访问ECS实例的流量进行管控。关于前缀列表的介绍,请参见使用前缀列表提高安全组规则管理的效率。
目的选择
选择访问流量的目的地址。策略方向选择入方向时需要设置。可选择的目的地址类型:
全部ECS:表示关联当前策略组的所有ECS实例。
地址段访问:输入关联到当前策略组的ECS实例的IP地址,采用CIDR地址段格式。表示仅管控指定地址的ECS实例的入方向流量。
源选择
选择访问源的类型。策略方向选择出方向时需要设置。访问源包含以下类型:
全部ECS:表示关联当前策略组的所有ECS实例。
地址段访问:选择该类型后,需要输入源IP或CIDR地址段,表示当前策略组中该地址段对应的ECS实例。
目的类型、目的对象
选择目的地址的类型并根据选择的目的类型设置目的对象。策略方向选择出方向时需要设置。
可选的目的类型如下:
地址段访问
选择该类型后,需要手动输入访问目的地址段。仅支持设置单个地址段。
策略组
选择该类型后,从策略组列表中选择一个策略组,表示对本机访问该策略组中所有ECS实例的流量进行管控。
说明企业策略组不支持策略组选项。
前缀列表
选择该类型后,需要从前缀列表中一个前缀列表,表示对该前缀列表关联的安全组的所有ECS实例的流量进行管控。关于前缀列表的介绍,请参见使用前缀列表提高安全组规则管理的效率。
描述
策略的描述信息。
策略组创建完成后,您可以在主机边界防火墙的策略组列表中查看新建的策略组。
步骤三:发布策略
登录云防火墙控制台。
在左侧导航栏,选择 。
在主机边界页面,定位到需要发布的策略组,单击操作列下的发布。
在策略发布对话框,设置变更备注,确认变更策略(即策略的变更内容),并单击确定。
策略发布后才会同步到ECS安全组并生效。您可以在ECS控制台的
页面,查看云防火墙同步到安全组中的访问控制策略。云防火墙创建的策略组策略名称默认为Cloud_Firewall_Security_Group。
同步ECS安全组策略
手动同步:在主机边界页面,单击同步安全组,将ECS安全组的策略同步到云防火墙。同步时间需要2~3分钟。
自动同步:云防火墙每2小时为您自动同步ECS安全组的策略信息。
相关操作
您可以在主机边界防火墙的策略组列表执行如下操作:
编辑:修改当前策略组包含的ECS实例和策略组的描述。
删除:删除策略组。
警告删除策略组后,策略组中的主机访问控制策略会失效,请谨慎操作。删除策略组后,策略记录仍会保留在策略组列表中,但您无法再对其执行任何操作。
如果您希望清理不再需要的策略组,则可以将策略组来源设置为自定义,筛选出所有在云防火墙控制台手动创建的策略组,再去判断策略组是否需要保留。