云防火墙支持安全组默认放通的功能,帮助您简化ECS安全组访问控制策略的配置。本文档介绍了如何执行安全组默认放通。

背景信息

ECS安全组的访问控制在互联网方向是默认拒绝的。云防火墙通过下发放通规则来将该默认拒绝的属性修改为默认放通,方便您在云防火墙的访问控制中统一管理规则,无需您前往ECS控制台安全组页面修改安全组的配置。

防护原理

云防火墙通过给开放公网IP的ECS安全组下发4条优先级最低(优先级为100)的访问控制策略(即ECS安全组规则),实现该ECS的公网IP在互联网方向的默认放通。安全组放通功能无需您手动添加访问控制策略,只需在云防火墙自动新增策略后,确认这4条策略无误,并保存新增策略即可。

说明 安全组放通的功能仅对ECS安全组规则设置为放行的流量生效,对于设置为拒绝的安全组规则无影响。

限制条件

  • 企业安全组不支持安全组放通功能,并且您如果在同一个VPC网络中存在企业安全组,则该VPC所属的安全组也不支持默认放通功能。
  • 目前,安全组放通只支持ECS Public IP和ECS EIP这两类资产的互联网方向(外到内)流量,公网SLB等不支持开启。
  • 为更好地保护您的资产安全,对于未开启云防火墙开关的IP,不建议执行默认放通。对于已放通的IP,不建议关闭云防火墙的防护开关,否则会存在公网IP暴露的风险。

配置安全组放通

参考以下步骤配置安全组放通。

警告 请您重点关注以下情况,以免为您的业务带来严重安全风险。
  • 对于未开启云防火墙开关的IP,不建议执行默认放通。
  • 如果ECS的公网IP不支持开启引流(例如:公网SLB),不建议执行默认放通。
  • 云防火墙服务到期后,如果您不再使用云防火墙服务,建议您前往ECS控制台安全组页面,删除云防火墙之前自动添加的这4条放通策略。
  1. 登录云防火墙控制台
  2. 在左侧导航栏单击防火墙开关
  3. 互联网边界防火墙页面,定位到需要放通的安全组,并单击下发
    下发安全组规则
  4. 安全组默认放通策略对话框中,确认需要放通的关联安全组,并执行以下步骤。
    • 关联安全组不存在配置冲突的情况下:可直接单击一键下发,然后执行步骤5。
    • 关联安全组存在配置冲突的情况下:无法直接单击一键下发配置冲突

      您可参照以下方法进行处理:

      配置冲突的场景 场景描述 操作方法
      配置冲突可调整 该ECS实例IP所关联的安全组中,存在优先级大于等于100的规则(和待下发的默认规则优先级冲突)。

      云防火墙会通过将原有安全组规则的优先级调高,解决冲突。

      		 云防火墙会自动为您调整安全组优先级,无需您手动调整。您只需在安全组默认放通策略 > 一键调整页面,单击确定,确认云防火墙自动为您调整的优先级即可。

      单击确定后,一键下发按钮将会显示在IP关联的安全组列表的操作列中。

      配置冲突不可调整 该ECS实例IP所关联的安全组中,存在优先级大于等于100的规则(和待下发的默认规则优先级冲突),但是无法通过调整冲突规则的优先级来解决。 配置冲突不可调整的情况下,一键调整按钮不可单击。建议您前往ECS控制台安全组页面查看和调整冲突的规则优先级,或联系云防火墙钉钉技术支持。
  5. 安全组默认放通策略 > 一键下发对话框中,可查看到云防火墙自动为您新增的4条放通策略。确认无误后,单击确定 > 提交,默认放通该安全组互联网方向的访问。
    说明 单击提交后,该安全组下所有ECS实例的互联网方向流量将会变为默认放开。建议您梳理一下该安全组ECS对外暴露的公网IP,确认这些公网IP都在云防火墙中配置了相应的访问控制策略。

    关联的安全组都执行了一键下发后,该目标IP地址所属的安全组放通策略状态将变为已下发,策略也将立即生效。单击查看可查看关联安全组的详细信息。

    注意 由于安全组放通后,该安全组将默认放开互联网方向的访问流量,需要您关注以下几点:
    • 安全组放通后,需要确保在云防火墙上开启该IP的防火墙防护开关,并在互联网边界防火墙外对内方向中添加对应的访问控制策略。
    • ECS公网IP所关联的安全组放通后,该安全组下所有ECS实例的互联网方向的访问都会变为默认放通。建议您合理配置安全组的实例,有效控制公网暴露范围和降低您ECS暴露的风险。
    • 如果您的云防火墙服务过期并自动释放,已放通的安全组将不再受云防火墙的保护。建议您在收到云防火墙过期提醒消息时及时续费,或对已放通的安全组进行互联网方向的访问控制加固。放通安全组时,云防火墙为您自动新增的4条放通策略还会保留在ECS安全组中,并处于生效状态。如果您不再使用云防火墙服务,建议您前往ECS控制台安全组页面,删除云防火墙之前自动添加的这4条放通策略。

后续步骤

查看安全组默认放通策略下发状态

安全组放通配置完成后,您可前往防火墙开关 > 互联网边界防火墙页面,查看您ECS实例所在安全组默认放通策略的下发状态,确定策略是否已成功下发,及时排查未成功下发的问题。

下发状态包含以下几类:

  • 已下发:该IP所在的ECS实例关联的所有安全组都成功下发了放通规则(安全组中所有ECS实例在互联网入方向全部都已放通);如果ECS实例对应多个安全组,需要所有关联的安全组状态都为已下发,该安全组放通规则才能生效。
  • 未下发:该IP所在的ECS实例关联的安全组中,有部分安全组存仍未成功下发放通规则(这种情况下,互联网入方向的流量仍然受安全组策略的控制)。关联安全组存在配置冲突或未执行一键下发都可能导致安全组放通规则未成功下发。
  • 不支持:该资产类型暂不支持一键下发默认放通安全组规则。目前,除了ECS EIP和ECS Public IP,其他资产类型的IP都不支持该功能,例如:SLB IP、ENI EIP、NAT EIP等不支持默认放通安全组规则。