背景信息

云防火墙（原生版）作为云计算环境的边界网络安全，符合等级保护要求条例中边界安全访问控制要求项，能够实现内外网访问控制隔离等要求。

前期准备

用户需按业务需求整理好业务内外访问控制需求，整理点包含但不限于以下内容：

• 访问互联网业务的云主机信息，内网IP地址。
• 访问互联网业务是否存在限制，是否需要记录上网行为审计。
• 对外发布业务云主机信息，内网IP及对应公网IP。
• 对外发布业务云主机的业务端口信息，使用协议，域名信息等。
• 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问。

配置流程

云计算边界扩展针对云·边界安全有如下要求，要求边界安全能够实现访问控制、恶意代码防范、入侵防范等能力，以下配置流程可实现以上边界安全需求。

配置流程说明：

序号
子流程
配置内容
1
梳理业务映射关系
访问互联网业务的云主机信息，内网IP地址，详情参考《云墙上线信息收集表》。
访问互联网业务是否存在限制，是否需要记录上网行为审计。
对外发布业务云主机信息，内网IP及对应公网IP。
对外发布业务云主机的业务端口信息，使用协议，域名信息等。
对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问。
是否有WAF/CDN业务访问，提供源站白名单。
2
配置网络接口
按照平台已添加的网卡进行网卡接口配置，登录云墙【网络】→【接口】→【接口配置】，详细配置参考配置网络接口属性。
3
配置基础准备环境
按需配置对象薄、地址薄等信息，登录云墙【对象】→【服务薄】/【地址薄】，详细配置参考配置服务对象薄。
4
配置出向NAT策略
确认需要访问互联网的云主机，进行SNAT配置【策略】→【NAT】→【源NAT】，详细配置参考配置出站NAT策略。
5
配置入向NAT策略
确认需要访问互联网的云主机，进行SNAT配置【策略】→【NAT】→【目的NAT】，详细配置参考配置入站NAT策略。
6
配置安全策略
确认需要进行过滤的访问对象，进行安全策略配置【策略】→【安全策略】→【新建】，详细配置参考配置安全策略。
7
配置出向路由和平台路由
确认内网访问互联网的出接口地址，配置出向路由【网络】→【路由】→【源路由】，详细配置参考配置出站路由和配置平台默认路由。
8
配置业务割接
将弹性IP从云主机上解绑至云墙网卡即可。

配置内容

提前准备好对应内网服务器的端口服务薄及地址薄等相关对象信息。

服务薄相关配置

登录云墙控制台，进入【对象】→【服务薄】→【服务】，可直接引用内置或新建。

地址薄准备

登录云墙控制台，进入【对象】→【地址薄】。

单击“新建”，新建地址薄，输入名称和地址信息即可。

配置源/目的NAT策略配置

放行策略配置完成，需针对业务进行访问控制隔离配置，首先配置出站SNAT策略。

1. 打开菜单栏，【策略→NAT→源NAT】，新建策略。

   

2. 打开菜单栏，【策略→NAT→目的NAT】，单击“新建 > 高级配置”，新建策略。

   参数
   说明
   源地址
   依据真实业务确认是否限制源地址。
   目的地址
   防火墙网卡地址。
   服务
   业务需放行端口策略，调用服务簿。
   转换为IP
   业务主机真实网卡地址。
   

   

配置安全策略

出入向地址转换策略配置完成后，需针对流量进行安全检测，该功能由安全策略实现。

打开菜单栏，“策略→安全策略→策略”，单击“新建 > 策略”，新建策略。

参数
说明
名称
自定义名称。
源安全域
安全域可根据业务情况选择。
源地址
源地址可根据业务情况选择。
目的地址
目的地址地址可根据业务情况选择，请输入防火墙网卡地址。
服务
根据业务主机开放端口选择服务。

配置出向路由和平台默认路由

登录云防火墙：【网络→路由→源路由】，单击“新建”。

参数
说明
源IP
需要访问互联网的地址或网段。
下一跳
需要使用访问互联网的防火墙网卡接口。
网关
防火墙网卡的网关地址。

登录云平台控制台，虚拟私有云→VPC→路由表→新建，下一跳地址输入云防火墙（原生版）N100型实例网卡地址即可。