背景信息
云防火墙(原生版)作为云计算环境的边界网络安全,符合等级保护要求条例中边界安全访问控制要求项,能够实现内外网访问控制隔离等要求。
前期准备
用户需按业务需求整理好业务内外访问控制需求,整理点包含但不限于以下内容:
访问互联网业务的云主机信息,内网IP地址。
访问互联网业务是否存在限制,是否需要记录上网行为审计。
对外发布业务云主机信息,内网IP及对应公网IP。
对外发布业务云主机的业务端口信息,使用协议,域名信息等。
对外业务或端口是否需要限制源地址访问,例如运维端口仅放行运维人员访问。
配置流程
云计算边界扩展针对云·边界安全有如下要求,要求边界安全能够实现访问控制、恶意代码防范、入侵防范等能力,以下配置流程可实现以上边界安全需求。
配置流程说明:
| 序号 | 子流程 | 配置内容 |
|---|---|---|
| 1 | 梳理业务映射关系 |
|
| 2 | 配置网络接口 | 按照平台已添加的网卡进行网卡接口配置,登录云墙【网络】→【接口】→【接口配置】。 |
| 3 | 配置基础准备环境 | 按需配置对象薄、地址薄等信息,登录云墙【对象】→【服务薄】/【地址薄】。 |
| 4 | 配置出向NAT策略 | 确认需要访问互联网的云主机,进行SNAT配置【策略】→【NAT】→【源NAT】。 |
| 5 | 配置入向NAT策略 | 确认需要访问互联网的云主机,进行SNAT配置【策略】→【NAT】→【目的NAT】。 |
| 6 | 配置安全策略 | 确认需要进行过滤的访问对象,进行安全策略配置【策略】→【安全策略】→【新建】。 |
| 7 | 配置出向路由和平台路由 | 确认内网访问互联网的出接口地址,配置出向路由【网络】→【路由】→【源路由】。 |
| 8 | 配置业务割接 | 将弹性IP从云主机上解绑至云墙网卡即可。 |
配置内容
提前准备好对应内网服务器的端口服务薄及地址薄等相关对象信息。
服务薄相关配置
登录云墙控制台,进入【对象】→【服务薄】→【服务】,可直接引用内置或新建。
地址薄准备
登录云墙控制台,进入【对象】→【地址薄】。
单击“新建”,新建地址薄,输入名称和地址信息即可。
配置源/目的NAT策略配置
放行策略配置完成,需针对业务进行访问控制隔离配置,首先配置出站SNAT策略。
打开菜单栏,【策略→NAT→源NAT】,新建策略。
打开菜单栏,【策略→NAT→目的NAT】,单击“新建 > 高级配置”,新建策略。
参数 说明 源地址 依据真实业务确认是否限制源地址。 目的地址 防火墙网卡地址。 服务 业务需放行端口策略,调用服务簿。 转换为IP 业务主机真实网卡地址。
配置安全策略
出入向地址转换策略配置完成后,需针对流量进行安全检测,该功能由安全策略实现。
打开菜单栏,“策略→安全策略→策略”,单击“新建 > 策略”,新建策略。
| 参数 | 说明 |
|---|---|
| 名称 | 自定义名称。 |
| 源安全域 | 安全域可根据业务情况选择。 |
| 源地址 | 源地址可根据业务情况选择。 |
| 目的地址 | 目的地址地址可根据业务情况选择,请输入防火墙网卡地址。 |
| 服务 | 根据业务主机开放端口选择服务。 |
配置出向路由和平台默认路由
登录云防火墙:【网络→路由→源路由】,单击“新建”。
| 参数 | 说明 |
|---|---|
| 源IP | 需要访问互联网的地址或网段。 |
| 下一跳 | 需要使用访问互联网的防火墙网卡接口。 |
| 网关 | 防火墙网卡的网关地址。 |
登录云平台控制台,虚拟私有云→VPC→路由表→新建,下一跳地址输入云防火墙(原生版)N100型实例网卡地址即可。
