云防火墙支持对堡垒机提供访问控制、IPS、网络流量分析等功能,实现对堡垒机公网IP进行统一管理和保护。

防护原理

以下是云防火墙为堡垒机提供安全防护的原理图。云防火墙防护堡垒机原理图

推荐配置

云防火墙防护堡垒机公网IP的推荐配置如下:

  1. 配置互联网边界防火墙外到内策略,允许互联网或指定区域的互联网访问堡垒机的开放端口。
  2. 配置互联网边界防火墙内到外策略,允许堡垒机访问公网IP。
  3. 在防火墙开关处打开堡垒机的保护,使进入、流出堡垒机的流量都经过云防火墙的保护。

操作步骤

  1. 登录云防火墙控制台
  2. 定位到安全策略 > 访问控制 > 互联网边界防火墙
  3. 新建外对内访问控制策略,允许互联网或指定区域的互联网访问堡垒机的开放端口。
    1. 单击外对内页签。
    2. 单击地址簿管理 > 端口地址簿 > 新建地址簿端口地址簿
      说明 地址簿用于添加多个IP地址或端口进行批量配置,可简化您的配置流程。如果您只需要开放一个堡垒机端口,无需创建地址簿。
    3. 编辑地址簿对话框中添加堡垒机对互联网要开放的端口,完成其他配置项并单击提交编辑地址簿

      堡垒机需要对互联网开放的端口:60022(SSH)、63389(RDP)、443(堡垒机BS运维)端口,请根据您的实际访问需要将要对互联网开放的端口加入到端口地址簿。多个端口用英文逗号分隔。最多可添加50个端口。

    4. 新建第一条外对内访问控制策略,允许互联网访问堡垒机指定端口。外对内放行
      参数 描述
      源类型 选择IP类型。
      访问源 如果是允许互联网所有地址访问堡垒机端口,填写0.0.0.0/0,表示互联网所有地址的访问;如果只允许部分区域的互联网访问堡垒机开放端口,请填写对应的IP地址段信息。
      目的类型 选择IP类型。
      目的 填写堡垒机的IP地址。
      说明 您可以在云防火墙控制台防火墙开关 > 互联网边界防火墙页面,通过筛选资产类型查看您的堡垒机IP地址,而无需切换到堡垒机控制台去查看IP信息。
      协议类型 选择TCP
      端口类型 如果您需要开放多个堡垒机端口,端口类型需要选择地址簿并在端口配置项中选择之前已创建好的堡垒机开放端口地址簿。
      应用 选择ANY
      动作 选择放行,表示允许互联网地址访问堡垒机对外开放的端口。
      描述 对访问控制策略进行描述或备注。输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
      优先级 设置访问控制策略的优先级。默认优先级为最后
      • 最后:指访问控制策略生效的顺序最低,最后生效。
      • 最前:指访问控制策略生效的顺序最高,最先生效。
      启用状态 设置策略的启用状态,设置为启用状态。
    5. 新建第二条外对内访问控制策略,拒绝互联网任意地址对堡垒机非开放端口的访问。外对内拒绝

      端口:输入0/0表示堡垒机的所有端口。

      动作:选择拒绝,表示不允许互联网任意地址访问堡垒机非对外开放的端口。

  4. 允许堡垒机访问互联网。

    堡垒机需要通过公网访问阿里云,或存在跨VPC访问ECS或者访问云外主机的情况,因此需要允许堡垒机对公网的访问。

    1. 定位到安全策略 > 访问控制 > 互联网边界防火墙 > 内对外
    2. 单击新增策略,并完成允许堡垒机访问互联网的策略配置。新增策略
  5. 打开防火墙开关 > 互联网边界防火墙,定位到对应的堡垒机,单击开启保护,开启云防火墙对堡垒机的防护。防火墙开关
    说明 新购买的堡垒机在完成购买15~30分钟后同步到云防火墙。

相关文档