云防火墙：通过云防火墙统一管理企业用户

背景信息

随着企业上云的进一步深入，越来越多的企业业务迁移至云端，企业购买的云资源迅速增多，资源、项目、人员、权限管理变得极其复杂，单账号负载过重已无力支撑，多账号上云模式逐渐成为多业务上云的重要选择。企业用户对于跨账号的云资源具有集中化管理需求，主要体现在安全、审计合规、网络、运维等产品。

基于以上需求，云防火墙支持通过阿里云资源管理的可信服务功能，将多个阿里云账号汇总到一个资源目录（其中每个阿里云账号表示一个成员账号），并委派特定的成员作为管理员，使其可以访问资源目录下所有成员账号包含的资源，实现多个阿里云账号的公网资产和VPC资产统一引流保护、策略配置、流量分析、入侵防护、攻击防护、失陷感知、日志审计分析。

场景示例

• 网络部署

  某企业阿里云账号A在华北2（北京）地域部署了BJ-VPC1、BJ-VPC2两个VPC实例，BJ-VPC1下部署了1台BJ-VPC1-ECS1实例，BJ-VPC2下部署了1台BJ-VPC2-ECS2实例；阿里云账号B在华北2（北京）地域部署了BJ-VPC3、BJ-VPC4两个VPC实例，BJ-VPC3下部署了1台BJ-VPC3-ECS3实例，BJ-VPC4下部署了1台BJ-VPC4-ECS4实例。并且使用VPC对等连接功能实现了BJ-VPC1和BJ-VPC2，BJ-VPC3和BJ-VPC4的流量互通。

• 需求及方案

  该企业现在需要只在阿里云账号A开通云防火墙的情况下，检测BJ-VPC1和BJ-VPC2之间的流量、BJ-VPC3和BJ-VPC4之间的流量，并保障VPC之间流量互访安全，且满足BJ-VPC1-ECS1不能访问BJ-VPC2-ECS2。基于上述诉求，该企业可以使用云防火墙统一账号管理、VPC边界防火墙、访问控制功能实现业务需求。

场景示意如下：

前提条件

• 已为企业管理员账号开通资源目录。具体操作，请参见开通资源目录。

• 已为阿里云账号A开通云防火墙高级版、企业版、旗舰版和按量付费版。详细信息，请参见包年包月。

  说明

  如需添加更多成员账号，您需要升级云防火墙规格，扩充多账号管控数。

• 已为阿里云账号A、阿里云账号B分别部署了2个相同地域的专有网络VPC。具体操作，请参见创建和管理专有网络。

• 已为阿里云账号A、阿里云账号B部署的VPC分别购买了两台ECS实例。具体操作，请参见创建云资源。

• 已为阿里云账号A、阿里云账号B下的VPC分别建立VPC对等连接。具体操作，请参见创建和管理VPC对等连接。

配置流程

步骤一：邀请资源目录的成员

企业管理账号可以邀请资源目录以外的阿里云账号加入到资源目录，作为资源目录的成员，实现资源的统一管理。

1. 使用企业管理员账号登录资源管理控制台。

2. 在左侧导航栏，选择资源目录 > 邀请成员。

3. 单击邀请成员。

4. 在邀请成员面板，填写邀请的账号UID/账号登录邮箱为阿里云账号A的ID（135809047715****）和阿里云账号B的ID（166032244439****），确认并勾选风险提示。

   说明

   此处邮箱是注册账号时的登录邮箱，而非注册账号后绑定的备用邮箱。您可以一次性输入多个阿里云账号实现批量邀请，使用半角逗号（,）分隔。

5. 单击确定。

步骤二：为资源目录添加委派管理员

通过委派管理员账号，可以将组织管理任务与业务管理任务相分离，企业管理账号执行资源目录的组织管理任务，委派管理员账号执行可信服务的业务管理任务。本文示例中，委派管理员账号即阿里云账号A。

1. 使用企业管理员账号登录资源管理控制台。

2. 在左侧导航栏，选择资源目录 > 可信服务。
3. 在可信服务页面，单击目标可信服务操作列的管理。
4. 在委派管理员账号区域，单击添加。

5. 在委派管理员账号面板，选中阿里云账号A的ID（135809047715****）。

6. 单击确定。
   添加成功后，使用该委派管理员账号访问对应可信服务的多账号管理模块，即可进行资源目录组织范围内的管理操作。

步骤三：添加云防火墙成员账号

云防火墙支持通过阿里云资源管理的可信服务功能，将多个阿里云账号汇总到一个资源目录（其中每个阿里云账号表示一个成员账号），实现资源目录下所有成员账号之间共享资源。

1. 使用阿里云账号A登录云防火墙控制台。

2. 在左侧导航栏，选择系统设置 > 多账号统一管理。

3. 在多账号统一管理页面，单击添加成员账号。

4. 在添加成员账号对话框，将阿里云账号B的ID（166032244439****）添加到右侧已选导入云防火墙成员账号列表。

5. 在右侧已选导入云防火墙成员账号列表，选择阿里云账号B的ID（166032244439****），单击确定。

   此时，阿里云账号A（135809047715****）成功添加阿里云账号B（166032244439****）为它的成员账号。

步骤四：创建VPC边界防火墙

当两个VPC已建立VPC对等连接，可以通过创建VPC边界防火墙，帮助您检测两个VPC间的通信流量。

1. 使用阿里云账号A登录云防火墙控制台。在左侧导航栏，单击防火墙开关。

2. 在防火墙开关页面，单击VPC边界防火墙。

3. 在高速通道页签，定位到VPC实例为BJ-VPC1和对端VPC实例为BJ-VPC2的数据，单击右侧操作列的创建。

   云防火墙每隔半小时会为您自动同步一次资源。如果您刚创建好资源，需耐心等待半个小时。

4. 在创建VPC边界防火墙对话框，配置如下信息。然后单击提交。

   配置项	说明	示例
   实例名	定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例，建议您使用具有业务意义的名称，并保证名称的唯一性。	统一账号管理test
   对等互通方式	确认互通方式。对等互通方式指VPC之间或VPC与本地数据中心之间的通信方式，此处固定为高速通道，无需您手动设置。	高速通道
   确认VPC的相关信息	确认VPC地域和VPC实例，选择要防护的路由表，并填写目标网段。	本端VPC： 地域：华北2（北京） VPC：vpc-2zekde0udtz2s1hn9****-BJ-VPC1 防火墙IP/网卡：10.33.33.15-eni-2zeau3rre2q3llavidw0 路由表：vtb-2zeo25fbkcvc2lx7j**** 目标网段：10.66.66.0/24 对端VPC： 地域：华北2（北京） VPC：vpc-2zey3h1i556yn5orn****-BJ-VPC2 防火墙IP/网卡：10.66.66.92-eni-2zeau3rre2q3llavidw0 路由表：vtb-2zeo25**** 目标网段：10.33.33.0/24
   入侵防御	云防火墙内置了威胁检测引擎，实现入侵防御（IPS）的功能，可针对互联网侧的南北向流量和VPC边界的东西向流量实时拦截网络入侵行为。	IPS防御模式：拦截模式。 IPS防御能力：基础规则和虚拟补丁。
   开启VPC防火墙开关	开启防火墙开关后，则在创建VPC边界防火墙后，自动开启VPC边界防火墙开关。默认是关闭状态。	开启防火墙开关

5. 在高速通道页签，定位到VPC实例为BJ-VPC3和对端VPC实例为BJ-VPC4的数据，单击右侧操作列的创建。

6. 在创建VPC边界防火墙对话框，配置如下信息。然后单击提交。

   配置项	说明	示例
   实例名	定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例，建议您使用具有业务意义的名称，并保证名称的唯一性。	统一账号管理test02
   对等互通方式	确认互通方式。对等互通方式指VPC之间或VPC与本地数据中心之间的通信方式，此处固定为高速通道，无需您手动设置。	高速通道
   确认VPC的相关信息	确认VPC地域和VPC实例，选择要防护的路由表，并填写目标网段。	本端VPC： 地域：华北2（北京） VPC ID：vpc-2ze9epancaw8t4sha****-VPC3-ECS3 防火墙IP/网卡：10.10.10.46-eni-2ze0if806m1f08w5**** 路由表：vtb-2zekhldj6y24xm6vi**** 目标网段：10.10.11.0/24 对端VPC： 地域：华北2（北京） VPC：vpc-2ze3rb2rf1rqo3peo****-BJ-VPC4 防火墙IP/网卡：10.10.11.116-eni-2ze24sw34yq9n8ae**** 路由表：vtb-2zestg1kxe9it54yu**** 目标网段：10.10.10.0/24
   入侵防御	云防火墙内置了威胁检测引擎实现入侵防御（IPS）的功能，可针对互联网侧的南北向流量和VPC边界的东西向流量实时拦截网络入侵行为。	IPS防御模式：拦截模式。 IPS防御能力：基础规则和虚拟补丁。
   开启VPC防火墙开关	开启防火墙开关后，则在创建VPC边界防火墙后，自动开启VPC边界防火墙开关。默认是关闭状态。	开启防火墙开关

步骤五：配置访问控制策略

VPC边界防火墙可用于检测两个VPC间的通信流量，如果您只配置了VPC边界防火墙，此时两个VPC间的所有流量均为放行状态。您可以设置VPC边界防火墙的访问控制策略，精细化管理VPC下的资产。本示例中，您需要实现阿里云账号A的BJ-VPC1-ECS1不能访问BJ-VPC2-ECS2。

1. 使用阿里云账号A登录云防火墙控制台。

2. 在左侧导航栏，选择防护配置 > 访问控制 > VPC边界。

3. 在VPC边界页面，单击创建策略。

4. 在创建策略-VPC边界面板，配置如下信息。

   配置项	说明	拦截策略示例值
   源类型	访问源地址的类型。	IP
   访问源	发送流量的源地址。	10.33.33.17/32
   目的类型	设置目的地址类型。	IP
   目的	设置接收流量的目的地址。	10.66.66.94/32
   协议类型	选择传输协议类型。	TCP
   端口类型	选择端口类型。	端口
   端口	设置需要放开或限制的端口。可根据端口类型的配置项，手动输入单个端口，或者单击选择，从地址簿中选择预先配置的端口地址簿。	80
   应用	选择应用。	ANY
   动作	允许或拒绝该流量通过VPC边界防火墙。	拦截
   描述	对访问控制策略进行描述或备注。输入该策略的备注内容，便于您后续查看时能快速区分每条策略的目的。	统一账号管理拦截策略
   优先级	设置访问控制策略的优先级。默认优先级为最后。	最后

5. 单击确认。

步骤六：查看流量日志和入侵防御信息

当您的资产进行访问时，可以通过云防火墙VPC互访功能查看VPC专有网络之间的流量信息，帮助您实时获取VPC网络流量信息，及时发现和排查异常流量，从而更快地发现和检测出攻击。具体操作，请参见VPC互访。您也可以查看VPC之间的流量日志和入侵防御信息，确保您配置的正确性，并根据查询结果，排查是否存在异常流量。如果存在异常流量，即不符合您的业务需求，可以设置其他访问控制策略或者防护配置信息。

查看VPC之间的流量日志

1. 使用阿里云账号A登录云防火墙控制台。

2. 在左侧导航栏，选择日志监控 > 日志审计

3. 在日志审计页面，单击流量日志，再单击VPC边界。

4. 在VPC边界页签，查询阿里云账号A和阿里云账号B部署的VPC之间的流量。

   • 查询BJ-VPC2-ECS2成功访问BJ-VPC1-ECS1的流量日志：设置源IP为BJ-VPC2-ECS2的IP（10.66.66.94），目的IP为BJ-VPC1-ECS1的IP（10.33.33.17）。

     BJ-VPC2-ECS2成功访问BJ-VPC1-ECS1，表示已经成功将阿里云账号A部署的两个VPC的流量引流到云防火墙。

   • 查询BJ-VPC3-ECS3成功访问BJ-VPC4-ECS4的流量日志：设置源IP为BJ-VPC3-ECS3的IP（10.10.10.44），目的IP为BJ-VPC4-ECS4的IP（10.10.11.115）。

     BJ-VPC3-ECS3成功访问BJ-VPC4-ECS4，表示已经成功将阿里云账号B部署的两个VPC的流量引流到云防火墙。

5. 在VPC边界页签，设置源IP为BJ-VPC1-ECS1的IP（10.33.33.17），目的IP为BJ-VPC2-ECS2的IP（10.66.66.94），查询BJ-VPC2-ECS2拦截BJ-VPC1-ECS1的访问流量日志。

   BJ-VPC2-ECS2拦截BJ-VPC1-ECS1的流量日志，表示您配置的访问控制策略已生效，已成功拦截阿里云账号A的BJ-VPC1-ECS1访问BJ-VPC2-ECS2的流量，实现安全隔离企业的资产。

查看VPC防护的入侵防御信息

1. 使用阿里云账号A登录云防火墙控制台。

2. 在左侧导航栏，选择检测响应 > 入侵防御。

3. 在入侵防御页面的VPC防护页签，设置查询条件，查询入侵防御的信息。

   查询到ECS的入侵防御事件，表示云防火墙可以及时检测阿里云账号A部署的BJ-VPC1-ECS1和BJ-VPC2-ECS2不安全的通信，防止企业的资产被入侵。

   说明

   因为已经配置了BJ-VPC1-ECS1到BJ-VPC2-ECS2的拒绝策略，BJ-VPC1-ECS1到BJ-VPC2-ECS2的流量命中了访问控制策略，此时，BJ-VPC1-ECS1到BJ-VPC2-ECS2的流量就不会在入侵防御中显示。

4. 单击详情，在基本信息面板，查看目标攻击事件的详细信息。

相关问题

关于多账号统一管理的具体操作，请参见多账号统一管理。