容器防火墙是为容器环境提供访问控制并集智能学习、告警、攻击行为拦截为一体的防火墙服务。该功能利用机器学习识别容器应用程序之间的正常流量,对异常流量进行告警或拦截。黑客利用漏洞或恶意镜像入侵容器集群时,容器防火墙将告警或拦截异常的攻击行为。

版本限制说明

仅旗舰版支持该功能,其他版本用户需要升级到旗舰版才可使用该功能。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配。各版本的功能详情,请参见功能特性

注意事项

如果您在防护管理中开启了集群防护状态开关,即使您未创建任何防御规则,容器防火墙也会对访问容器内的所有流量进行拦截。

步骤一:新增防御对象

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择主动防御 > 容器防火墙
  3. 容器防火墙页面,单击网络对象页签。
  4. 防御对象页签,单击新增网络对象
  5. 新增网络对象面板,参考以下表格配置防御对象参数。
    参数 说明
    名称 输入防御对象的名称。
    类型 防御对象的类型。固定设置为镜像
    镜像 选择需要防御的镜像。
    标签 选择需要防御的镜像的标签 。您可以选择多个标签。
  6. 单击确定

步骤二:创建防御规则

新增防御对象后,您还需要创建防御规则,对访问容器镜像的流量进行过滤。

防御规则是实现网络隔离的逻辑单元,由一个源防护对象、一个目的防护对象和一组端口号组成。命中防御规则的网络连接允许进行,未命中防御规则的网络连接会被拦截或产生告警。

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择主动防御 > 容器防火墙
  3. 容器防火墙页面,单击防护管理页签。
  4. 在左侧集群列表,选择需要创建防御规则的集群。
  5. 单击创建防御规则
  6. 创建防御规则面板,参考以下表格配置防御规则参数。

    防御规则的配置项说明如下:

    参数 说明
    规则名称 防御规则的名称。
    访问源 访问流量的来源地址。
    目的 访问流量的目的地址。目的地址需要选择访问目的IP地址并填写端口号。
    规则状态 防御规则的状态。可选项:
    • 开启
    • 关闭
  7. 单击确定

步骤三:开启集群防护

创建了防护对象后,您需要为防护的集群打开容器防火墙的集群防御开关开启防御开关

开启集群防御开关后,容器防火墙才会对您的容器间流量进行防护。