背景信息

目标:发布业务区,下发真实的访问控制策略

在访问控制策略配置完成后,这些策略仍没有真实下发,您需要发布业务区将所配置的访问控制策略真实下发。

操作步骤

  1. 登录云盾云防火墙管理控制台
  2. 选择地域,选择网络
  3. 单击云防火墙拓扑图上方的发布/生效/回滚
  4. 选择业务区发布模式,选择业务区,单击发布
    说明
    存在流量线关联的业务区必须一起发布,无法单独发布。
    • 观察模式

      如果您还不确定策略配置是否合理时,建议选择发布观察模式。在观察模式下,云防火墙不会对流量进行真实阻断。

      业务区发布为观察模式后,您可以在一段时间后继续观察拓扑图中是否出现其它未被放行的正常业务流量线,并配置相应的访问控制策略。



    • 拦截模式

      选择发布拦截模式,云防火墙将根据业务区中所有基于流量线、服务器或角色组配置的访问控制策略自动生成安全组规则。拦截模式发布成功后,所有不在白名单策略定义的流量都会被拦截。

      说明
      为了避免ECS实例原先所属的安全组的规则影响云防火墙的访问控制规则的效果,在将所有业务区以拦截模式发布后,您需要将所有ECS实例从的原先的安全组中移出,在云防火墙中配置访问规则才能真正生效。您可以在发布/生效/回滚页面中选择生效/回滚页签,选择安全组单击脱离,即可将ECS实例从安全组中移出。
    在业务区以拦截模式发布后,如果正常业务由于所配置的访问控制策略导致中断,您可以使用一键全通功能实现在特殊情况下为某个业务区提供临时性放行策略,从而为您争取更多的排查时间。关于一键全通功能的详细说明,参考一键全通