全部产品
Search
文档中心

云服务器 ECS:通过云防火墙控制ECS实例间访问

更新时间:Feb 08, 2024

云防火墙可以统一管理ECS实例之间(东西向)、互联网和ECS实例之间(南北向)的流量,限制ECS实例的未授权访问。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。本文介绍如何配置主机边界防火墙的访问控制策略并查看业务关系。

前提条件

  • 已注册阿里云账号。如还未注册,请先完成账号注册

  • 在使用主机边界防火墙前,您需要授权云防火墙访问云资源。具体操作,请参见授权云防火墙访问云资源

  • 在使用主机边界防火墙前,您需要确保云防火墙为企业版或旗舰版。具体操作,请参见云防火墙计费方式

背景信息

云防火墙提供防火墙一键开关、入侵检测、主动外联阻断、流量分析、日志等功能,包括主机边界防火墙、互联网边界防火墙和VPC边界防火墙。更多信息,请参见云防火墙云防火墙词汇表

主机边界防火墙作用于东西向(即,ECS实例之间)流量,底层使用了ECS安全组的能力。您可以在云防火墙控制台为主机边界防火墙设置内对内策略组,也可以在ECS控制台的安全组中设置规则,来控制东西向的访问。云防火墙和ECS安全组的配置自动保持同步。您还可以设置应用组,直观查看ECS实例间的访问关系,从而根据访问情况优化内对内策略。

互联网边界防火墙作用于南北向流量,在互联网和ECS实例间进行访问控制。您可以按需设置外对内和内对外策略,在入侵防御的基础上进行策略加固,请参见网络流量活动概览访问控制策略概览

以下场景建议您使用云防火墙:

  • 基于域名的访问控制。

  • 基于应用的访问控制。

  • 对失陷主机的主动外联进行自动阻断。

  • 因等保需求,需要近6个月的访问日志。

配置主机边界防火墙

安全组是ECS提供的分布式虚拟主机防火墙,具备状态检测和数据包过滤功能,用于设置ECS实例间的网络访问控制。安全组是由同一个地域(Region)内具有相同安全防护需求并相互信任的实例组成。在创建实例的时候您需要指定安全组,每个实例至少属于一个安全组。

主机防火墙底层使用了安全组的功能,您既可以在访问控制页面的主机边界防火墙页签下配置策略,也可以在ECS管理控制台配置策略,两边配置自动保持同步。

完成以下操作,配置主机边界防火墙:

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择访问控制 > 主机边界

  3. 创建策略组。

    1. 在主机边界页面,单击新增策略组

    2. 在新建策略组对话框,配置策略组

      配置项

      说明

      策略组类型

      选择策略组的类型:

      • 普通策略组

      • 企业策略组

      策略组名称

      按页面提示要求设置策略组的名称。

      建议使用方便识别的名称,便于识别和管理。

      所属VPC

      选择应用该策略组的专有网络VPC。 每个策略组只能配置一个VPC。

      实例ID

      实例ID下拉列表中,选择应用该策略组的一个或多个ECS实例。

      说明

      实例ID列表只包含所属VPC下的ECS实例。

      描述

      简短地描述策略组,方便后续对安全组进行管理。

      模板

      模板下拉列表中,选择要应用的模板类型:

      • default-accept-login:默认放行TCP 22、TCP 3389协议入方向访问和所有出方向访问。

      • default-accept-all:默认放行所有入方向和出方向访问。

      • default-drop-all:默认拒绝所有入方向和出方向访问。

        说明

        企业策略组不支持default-drop-all选项。

  4. 配置策略。

    1. 主机边界页面,找到待设置的策略组,单击操作列下的配置策略

    2. 在目标策略组页面,单击创建策略

    3. 创建策略对话框,配置策略参数。

      配置项

      说明

      网卡类型

      默认为内网,表示ECS的出方向和入方向的流量。

      策略方向

      选择策略生效方向。

      • 入方向:指其他ECS实例访问策略组关联的ECS实例。

      • 出方向:指策略组内的ECS实例访问其他ECS实例。

      策略类型

      选择策略类型。

      • 允许:放行相应的访问流量。

      • 拒绝:直接丢弃数据包,不会返回任何回应信息。如果两条策略其他配置都相同,只有策略类型不同,则拒绝策略生效,允许策略不生效。

        说明

        企业策略组不支持拒绝选项。

      协议类型

      选择访问流量的协议类型。

      选择ANY时,表示任何协议类型。不确定访问流量的类型时可选择ANY。

      端口范围

      输入访问流量使用的端口地址范围。

      如果填写端口段,例如1~200的所有端口,则填写1/200;如果填写指定端口,例如80端口,则填写80/80。

      优先级

      策略生效的优先级。使用整数表示,取值范围:1~100。优先级数值越小,优先级越高。

      优先级数值可重复。策略优先级相同时,拒绝类型的策略优先生效。

      源类型源对象

      选择访问流量的来源,策略方向选择入方向时需要设置。您可以选择访问源地址的类型,并根据源类型设置源对象。

      • 地址段访问

        选择该类型后,需要在源对象中手动输入访问源地址段。仅支持设置单个地址段。

      • 策略组

        选择该类型后,需要从源对象的策略组列表,选择一个策略组作为源对象,表示对来自该策略组中所有ECS实例的流量进行管控。

        说明

        企业策略组不支持策略组选项。

      • 前缀列表

        选择该类型后,需要从源对象的前缀列表,选择一个前缀列表作为源对象,云防火墙能够对与指定前缀列表的IP地址访问ECS实例的流量进行管控。关于前缀列表的介绍,请参见使用前缀列表提高安全组规则管理的效率

      目的选择

      选择访问流量的目的地址。策略方向选择入方向时需要设置。可选择的目的地址类型:

      • 全部ECS:表示关联当前策略组的所有ECS实例。

      • 地址段访问:输入关联到当前策略组的ECS实例的IP地址,采用CIDR地址段格式。表示仅管控指定地址的ECS实例的入方向流量。

      源选择

      选择访问源的类型。策略方向选择出方向时需要设置。访问源包含以下类型:

      • 全部ECS:表示关联当前策略组的所有ECS实例。

      • 地址段访问:选择该类型后,需要输入源IP或CIDR地址段,表示当前策略组中该地址段对应的ECS实例。

      目的类型目的对象

      选择目的地址的类型并根据选择的目的类型设置目的对象。策略方向选择出方向时需要设置。

      可选的目的类型如下:

      • 地址段访问

        选择该类型后,需要手动输入访问目的地址段。仅支持设置单个地址段。

      • 策略组

        选择该类型后,从策略组列表中选择一个策略组,表示对本机访问该策略组中所有ECS实例的流量进行管控。

        说明

        企业策略组不支持策略组选项。

      • 前缀列表

        选择该类型后,需要从前缀列表中一个前缀列表,表示对该前缀列表关联的安全组的所有ECS实例的流量进行管控。关于前缀列表的介绍,请参见使用前缀列表提高安全组规则管理的效率

      描述

      策略的描述信息。

    4. 单击提交

      策略组创建完成后,您可以在主机边界防火墙的策略组列表中查看新建的策略组。

  5. 发布策略。

    1. 主机边界页面,找到待设置的策略组,单击操作列下的配置策略

    2. 策略发布对话框,设置变更备注,确认变更策略(即策略的变更内容),并单击确定

      策略发布后才会同步到ECS安全组并生效。您可以在ECS控制台的安全组 > 安全组列表页面,查看云防火墙同步到安全组中的访问控制策略。云防火墙创建的策略组策略名称默认为Cloud_Firewall_Security_Group

主机边界防火墙配置完成后,即开始控制ECS实例间的访问。在云防火墙中,您还可以设置应用组,可视化呈现业务关系。

查看业务关系

在云防火墙中,业务区是东西向业务中构成用户某个业务的各个应用组的集合,例如门户网站业务区可能包含Web应用组、DB应用组等。应用组是云防火墙东西向业务可视中提供的相同或相似服务的应用集合,如所有部署了MySQL的ECS可以归属到同一个DB应用组,部署了Apache服务的ECS实例归属到同一个Web应用组。

完成以下操作,查看当前ECS实例之间的关系:

  1. 登录云防火墙控制台

  2. 在左侧导航栏,单击业务可视 > 自定义分组

  3. 创建业务区。

    1. 在自定义分组页面,单击业务区页签。

    2. 在业务区页签,选择您要创建的业务区所属的VPC,单击新建业务区

    3. 完成业务区配置,然后单击确定

      业务区配置项如下表所示。

      配置项

      说明

      示例

      名称

      业务区的命名,手动输入。长度范围为1~40个字符。

      DB业务、Web业务

      备注

      业务区的备注信息。

      Web

      程度

      业务区的重要程度,帮助您在业务关系可视图中清晰区分不同重要程度的业务区。可选择一般、重要和非常重要3个程度。

      非常重要

  4. 创建应用组。

    1. 在自定义分组页面,单击应用组页签。

    2. 在业务区页签,选择您要创建的业务区所属的VPC,单击新建应用组

    3. 完成应用组配置,然后单击确定

      应用组配置项如下表所示。

      配置项

      说明

      示例

      名称

      应用组的命名,手动输入。长度范围为1~40个字符。

      DB应用组、Web应用组

      备注

      应用组的备注信息。

      Web应用组

      程度

      应用组的重要程度,帮助您在业务关系可视图中清晰区分不同重要程度的业务区。可选择一般重要非常重要三个程度。

      非常重要

      业务区

      可选选择已有业务区新建业务区

      选择已有业务区

      名称

      • 选择了选择已有业务区选项,则需在下方名称下拉框中选择之前您已创建好的业务区名称。

      • 如果选择新建业务区,则需在下方填写新建业务区的名称备注信息并选择程度

      DB业务、Web业务

  5. 分配应用。

    1. 自定义分组页面,单击应用

    2. 选择VPC,例如华东1(杭州)- vpc-bp1l5b6zsvw30qb6t****。

    3. 根据业务需要分配应用,例如将部署了MySQL的ECS实例分配至DB应用组,将部署了Apache服务的ECS实例分配至Web应用组。

  6. 查看业务关系。

    1. 登录云防火墙控制台

    2. 在左侧导航栏,单击业务可视 > 应用分组可视

    3. 应用分组可视页面,定位到需要查看的VPC网络,单击该VPC模块。

    4. 在该VPC网络下的应用分组可视页面,您可以查看业务区内容的访问情况以及选定业务区的依赖和被依赖关系。

    5. 单击应用分组可视页面右侧的点击查看数据详情,可打开该业务区的业务关系详情页面。在该页面中,您可以查看业务区的业务节点和业务关系。

      image