背景信息
云下一代防火墙作为云计算环境的边界网络安全,符合等级保护要求条例中边界安全访问控制要求项,能够实现内外网访问控制隔离等要求。
前期准备
用户需整理按业务需求整理好业务内外访问控制需求,整理点包含但不限于以下内容:
- 访问互联网业务的云主机信息,内网IP地址;
- 访问互联网业务是否存在限制,是否需要记录上网行为审计;
- 对外发布业务云主机信息,内网IP及对应公网IP;
- 对外发布业务云主机的业务端口信息,使用协议,域名信息等;
- 对外业务或端口是否需要限制源地址访问,例如运维端口仅放行运维人员访问;
配置操作
云计算边界扩展要求针对云·边界安全有如下要求,要求边界安全能够实现访问控制、恶意代码防范、入侵防范等能力,以下配置流程可实现以上边界安全需求。
配置流程说明:
| 序号 | 子流程 | 配置内容 |
|---|---|---|
| 1 | 梳理业务映射关系 | 1) 访问互联网业务的云主机信息,内网IP地址,详情参考《云墙上线信息收集表》 2) 访问互联网业务是否存在限制,是否需要记录上网行为审计; 3) 对外发布业务云主机信息,内网IP及对应公网IP; 4) 对外发布业务云主机的业务端口信息,使用协议,域名信息等; 5) 对外业务或端口是否需要限制源地址访问,例如运维端口仅放行运维人员访问; 6) 是否有WAF/CDN业务访问,提供源站白名单 |
| 2 | 配置网络接口 | 按照平台已添加的网卡进行网卡接口配置登录云墙【网络】→【接口】→【接口配置】,详细配置参考配置网络接口属性 |
| 3 | 配置基础准备环境 | 按需配置对象薄、地址薄等信息登录云墙,【对象】→【服务薄】/【地址薄】,详细配置参考配置服务对象薄 |
| 4 | 配置出向NAT策略 | 确认需要访问互联网的云主机,进行snat配置【策略】→【NAT】→【源NAT】,详细配置参考配置出站NAT策略 |
| 5 | 配置入向NAT策略 | 确认需要访问互联网的云主机,进行snat配置【策略】→【NAT】→【目的NAT】,详细配置参考配置入站NAT策略 |
| 6 | 配置安全策略 | 确认需要进行过滤的访问对象,进行安全策略配置【策略】→【安全策略】→【新建】,详细配置参考配置安全策略 |
| 7 | 配置出向路由和平台路由 | 确认内网访问互联网的出接口地址,配置出向路由【网络】→【路由】→【源路由】,详细配置参考配置出站路由和配置平台默认路由 |
| 8 | 配置业务割接 | 将弹性IP从云主机上解绑至云墙网卡即可。 |
配置内容
提前准备好对应内网服务器的端口服务薄及地址薄等相关对象信息。
1.服务薄相关配置
登录云墙控制台,进入【对象】→【服务薄】→【服务】,可直接引用内置或新建;
2.地址薄准备
登录云墙控制台,进入【对象】→【地址薄】→【新建地址薄】,输入名称和地址信息即可。
3.配置源/目的NAT策略配置
放行策略配置完成,需针对业务进行访问控制隔离配置,首先配置出站SNAT策略。
打开菜单栏,【策略→NAT→源NAT】,新建策略。
打开菜单栏,【策略→NAT→目的NAT】,新建策略。
4.配置安全策略
出入向地址转换策略配置完成后,需针对流量进行安全检测,该功能由安全策略实现。
打开菜单栏,【策略→安全策略→策略→新建策略】
5.配置出向路由和平台默认路由
登录云防火墙:【网络→路由→源路由】。
登录云平台
打开云平台控制台,虚拟私有云→VPC→路由表→新建,下一跳地址输入云下一代防火墙网卡地址即可。
