云防火墙通过业务间的流量可视化,帮助用户了解业务之间的访问关系,以此判断执行什么样的访问控制策略。
前提条件
在实现流量可视化之前,用户需先创建业务区、应用组,并将应用添加到业务区和应用组,以建立应用和应用组、业务区之间的关系。
背景信息
您需要提前了解以下概念:
业务区:业务区是东西向业务可视中,构成用户某个业务的各个应用组的集合,通常是按您实际业务的类型进行分类。例如:门户网站业务区(将包含Web应用组、DB应用组)等。
应用组:应用组是东西向业务可视中,提供的相同或相似服务的应用集合。例如:所有部署了MySQL的ECS可以归属到同一个DB应用组。
应用:应用是东西向业务可视的最小单位。默认情况下,一个应用等于一台ECS上所有开放端口的集合。您可以通过指定端口克隆应用来创建新的应用。
步骤一:创建业务区
登录云防火墙控制台。
在左侧导航栏,选择。
在自定义分组页面,单击业务区。
在业务区页签,选择您要创建的业务区所属的VPC。
重要VPC包括用户已有的VPC网络和ECS经典网络。每个业务区必须并且只能属于一个VPC。
单击新建业务区。
在新建业务区对话框中配置业务区信息。
名称:业务区的命名,手动输入。长度范围为1~40个字符。
备注:业务区的备注信息。
程度:业务区的重要程度,帮助您在业务关系可视图中清晰区分不同重要程度的业务区。可选择一般、重要和非常重要3个程度。
您可以在应用分组可视页面,通过筛选不同的重要程度等级,查看对应重要级别的业务区。
单击确定,完成业务区的创建。
业务区创建完成后,会归属到您之前选择的VPC中。您可在业务区列表中,对业务区基本信息进行编辑或删除业务区。
说明业务区下存在应用组时,不可删除业务区。
步骤二:创建应用组
登录云防火墙控制台。
在左侧导航栏,选择。
在自定义分组页面,单击应用组。
在应用组页签,选择您要创建的应用组所属的VPC。
单击新建应用组。
在新建应用组对话框中配置应用组的信息。
名称:应用组的命名,手动输入。长度范围为1~40个字符。
备注:应用组的备注信息。
程度:应用组的重要程度,帮助您在业务关系可视图中清晰区分不同重要程度的业务区。可选择一般、重要和非常重要3个程度。
您可以在应用分组可视页面,双击打开某个业务区后,通过筛选不同的重要程度等级,查看对应重要级别的应用组。
业务区:可选选择已有业务区和新建业务区。
选择了选择已有业务区选项,则需在下方名称下拉框中选择之前您已创建好的业务区名称。
重要创建应用组后,该应用组将会被自动加到应用组归属的业务区所在的VPC。
如果选择新建业务区,则需在下方填写新建业务区的名称、备注信息并选择重要程度。
单击确定,完成应用组的创建。
(可选步骤)单击操作栏的分配,可修改应用组所属的业务区。
完成业务区分配后,业务区页面的应用组数量将会同步更新。
应用组创建完成后,还可在应用组列表中,对应用组的基本信息进行编辑或删除应用组。
说明应用组下存在应用时,不可删除应用组。
步骤三:为应用分配应用组和业务区
您可在应用页面查看云防火墙中已有的业务区、应用组、应用和ECS数量。
登录云防火墙控制台。
在左侧导航栏,选择。
在自定义分组页面,单击应用。
通过搜索功能定位到需要操作的应用。
单击操作栏的分配,将该应用添加到之前您已创建好的业务区和应用组中。
说明完成应用分配后,业务区页面的业务区数量和应用组数量将会同步更新。
(可选步骤)您也可以在应用列表中,单击右侧操作栏的克隆,复制现有的应用。
云防火墙开通后会对每个ECS创建一个默认的应用,访问ECS的流量会自动映射到该默认应用中。如果ECS中有多个应用属于不同的业务类型,您可以通过克隆操作创建新的应用,并为该应用分配另一个业务区和应用组。克隆应用时,可对应用所属的ECS实例ID、侦听端口和进程名进行修改。