云防火墙多账号统一管理最佳实践-阿里云帮助中心

手动部署

https://www.aliyun.com/solution/tech-solution/umomaicf

方案概览

云防火墙提供统一账号管理功能，支持通过阿里云资源管理的可信服务将多个阿里云账号添加到一个资源目录，并委派购买了云防火墙的阿里云账号作为委派管理员，使其可以访问资源目录下所有成员账号包含的资源，从而实现单账号下的云防火墙防护跨账号资源的访问流量。

云防火墙多账号统一管理方案，提供统一的安全运营视图，实现云防火墙安全管理跨账号资源，降低了企业多账号维护的难度和成本。

方案架构

本方案以统一管理同地域的两个阿里云账号所部署的专有网络VPC（Virtual Private Cloud）为例，介绍如何使用云防火墙实现跨账号资源的流量防护管控。

方案提供的默认设置完成部署后在阿里云上搭建的网站运行环境如下图所示。实际部署时您可以根据资源规划修改部分设置，但最终形成的运行环境与下图相似。

云防火墙.png

本方案通过将多个阿里云账号加入同一个资源目录，建立云上企业业务组织关系。用户可以指派购买了云防火墙的账号为委派管理员账号，并建立云防火墙多账号体系。方案部署完成后，用户可以通过云防火墙控制台统一管理多个账号的云资源，防护多账号下的云资源的安全性。

部署准备

开始部署前，请按以下指引完成账号申请、账号充值、RAM用户创建和授权。

准备账号

如果您还没有阿里云账号，请访问阿里云账号注册页面，根据页面提示完成注册。阿里云账号是您使用云资源的付费实体，因此是部署方案的必要前提。
本方案中，您需要创建3个阿里云账号，分别为管理账号、阿里云账号A（同时作为委派管理员）和阿里云账号B，并且3个阿里云账号为同一企业实名认证。
为阿里云账号充值。
本方案使用的云资源包括：云防火墙、资源目录 RD、专有网络 VPC、云服务器 ECS。为节省成本，本方案默认采用按量付费或包年包月版最小规格引导操作，所需的费用预估如下：
- 云防火墙：当前仅云防火墙包年包月版支持多账号统一管理功能。本方案默认按最低规格购买，预估费用为5,300元/月。
  云防火墙支持五天无理由全额退订，每个用户在一个自然年内可申请一次五天无理由全额退订。如果您满足五天无理由全额退订条件，您可以通过退订管理页面全额退订云防火墙。更多信息，请参见退款说明。
- 资源目录 RD：资源目录为免费产品，开通后即可正常使用，不收取任何费用。
- 专有网络 VPC：根据不同的使用情况和配置，VPC的收费标准有所不同，本方案中的配置，VPC不收取任何费用。
- 云服务器 ECS：本方案默认按最低规格购买，预估费用如下图所示。
以上预估费用仅供参考，具体价格与您选择的资源规格有关，请以控制台显示的实际报价以及最终账单为准。

规划网络和资源

网络规划

请参考表格中的说明和方案默认示例值为每个规划项做详细规划并在实际部署时将默认示例值修改为您的实际规划。

规划项	数量	说明
地域	1	您的云服务部署的地域。选择地域的基本原则请参见地域和可用区。
专有网络VPC	2	在部署过程中新建2个VPC作为本方案的专有网络。
交换机	2	本方案需要至少2台交换机，用来连接不同的云资源实例。

规划云资源

请参考表格中的说明和方案默认示例值为每个规划项做详细规划并在实际部署时将默认示例值修改为您的实际规划。

规划项	数量	说明
ECS	2	本方案需要2台ECS实例，用于验证流量访问管控。
云防火墙	1	本方案需要1台云防火墙实例，用于对多账号下的访问流量进行安全防护。云防火墙可以根据设定的访问控制策略对访问流量进行拦截或放行，降低由于管控疏漏导致的网络安全事件。
资源目录	1	本方案需要开通资源目录服务，用于构建符合企业业务关系的资源目录结构。

部署资源

规划好资源后，请按照以下步骤部署方案中的所有资源。

部署资源目录

开通资源目录的阿里云账号默认为资源目录的管理账号，具有管理资源目录的所有权限，承担对资源目录中的所有业务账号及其下资源的管理责任。建议您使用企业管理员账号开通资源目录，然后通过委派管理员账号，将组织管理任务与业务管理任务相分离，企业管理账号执行资源目录的组织管理任务，委派管理员账号执行可信服务的业务管理任务。

使用管理账号登录资源管理控制台。
开通资源目录。
1. 在左侧导航栏，选择资源目录 > 概览，单击开通资源目录。
2. 选择使用当前账号开通，然后单击开通。
3. 在安全校验对话框中，通过手机号码或电子邮箱完成安全验证，然后单击确定。
  开通资源目录后，系统会为您创建一个Root资源夹，并将当前的登录账号设置为管理账号。同时，系统会在管理账号内自动创建一个服务关联角色（AliyunServiceRoleForResourceDirectory），用于设置资源目录可信服务的访问权限。关于服务关联角色的更多信息，请参见资源目录中的RAM角色。
邀请资源目录的成员账号。
1. 在左侧导航栏，选择资源目录 > 邀请成员。
2. 在邀请成员页面，单击邀请成员。
3. 在邀请成员面板，填写邀请的账号UID/账号登录邮箱为阿里云账号A的ID和阿里云账号B的ID，确认并勾选风险提示。
  此处邮箱是注册账号时的登录邮箱，而非注册账号后绑定的备用邮箱。您可以一次性输入多个阿里云账号实现批量邀请，使用半角逗号（,）分隔。
4. 单击确定。
委派购买了云防火墙实例的账号为委派管理员。本方案以阿里云账号A为例。
1. 在左侧导航栏，选择资源目录 > 可信服务。
2. 在可信服务页面，找到云防火墙产品，在操作列单击管理。
3. 在委派管理员账号区域，单击添加。
4. 在委派管理员账号面板，选中阿里云账号A账号。
5. 单击确定。
  添加成功后，使用该委派管理员账号访问对应可信服务的多账号管理模块，即可进行资源目录组织范围内的管理操作。

通过ROS一键部署VPC和ECS

参考以下步骤，分别在账号A和账号B下各创建一个VPC和ECS，并且为ECS绑定EIP。

方案资源配置

执行一键部署操作后，您将创建以下资源：

专有网络VPC

项目

说明

示例值

专有网络名称

建议您在部署过程中新建一个VPC作为本方案的专有网络。部署过程中填写VPC名称即可创建对应名称的VPC。

长度为2~128个字符，以英文大小字母或中文开头，可包含数字、下划线（_）和连字符（-）。

VPC-1

IPv4网段

在创建VPC时，您必须按照无类域间路由块（CIDR block）的格式为您的专有网络划分私网网段。阿里云VPC支持的网段信息请参见专有网络组成部分。

在网络规划时可以按照管理网段-开发网段-测试网段-生产网段等规则做好规划。网段一旦投入使用，调整过程复杂，因此规划十分重要。

192.168.0.0/16

交换机

项目	说明	示例值
Vswitch名称	建议您在部署过程中在新建的VPC内创建虚拟交换机。部署过程中填写交换机名称即可创建对应名称的虚拟交换机。长度为2~128个字符，以英文大小字母或中文开头，可包含数字、下划线（_）和连字符（-）。	vsw_001
可用区	在规划的地域内选择可用区，虚拟交换机将部署在选择的可用区。建议选择排序靠后的，一般此类可用区较新。新可用区资源更充沛，新规格也会在新的可用区优先上线。	可用区 H
IPv4网段	每台虚拟交换机需要一个IPv4网段。	192.168.1.0/24

云服务器ECS

项目	说明	示例值
实例名称	自定义ECS实例名称。	ECS-1
可用区	选择VPC交换机所属的可用区。	可用区 H
支付方式	ECS实例的计费方式。 ECS计费的详细信息请参见ECS计费方式概述。	按量付费
实例规格	ECS的实例规格及内核、vCPU数量。关于ECS选型的最佳实践请参见选型最佳实践。	突发性能实例 t5
镜像	ECS的“装机盘”，为ECS实例提供操作系统、预装软件等。	CentOS
镜像版本	镜像的版本。	CentOS 7.6 64位
系统盘类型	硬盘类型。	SSD云盘
系统盘容量	硬盘容量。	20 GiB
公网IP	用于云服务器ECS访问互联网。	分配公网 IPv4 地址
带宽计费方式	选择按使用流量，表示按实际使用的流量计费。	按使用流量
带宽峰值	选择流量峰值。	1 Mbps
安全组	新建一个安全组，默认放行22端口和80端口。	SecurityGroup_1

使用阿里云账号A登录阿里云控制台。
单击一键部署模板（账号A）进入ROS控制台，在顶部选择华东1（杭州）。
查看模板参数，配置以下参数，其他参数可使用默认值或按需修改。
- 实例规格：选择x86计算架构、共享型的突发性能实例 t5。
- 系统盘类型：选择SSD云盘。
- 实例密码：自定义ECS实例的登录密码。
查看页面右下角的资源价格，确认无误后单击创建。
等待资源栈创建，资源部署时间约为10分钟，请耐心等候。当资源栈状态显示为创建成功时，即为成功部署相关资源。
使用阿里云账号B登录阿里云控制台，单击一键部署模板（账号B）进入ROS控制台，参考上述步骤创建资源栈。

开通云防火墙包年包月版

使用阿里云账号A访问云防火墙购买页。
选择付费模式为包年包月。
目前仅云防火墙包年包月版支持开通多账号统一管理，云防火墙按量付费版暂不支持。

按照业务需求，配置如下购买项。

项目	说明	示例
当前版本	选择云防火墙的版本。不同的版本支持的功能不同，您可以单击某个版本，在版本描述下查看当前版本的功能说明。更多信息，请参见功能特性。关于不同版本的定价信息，请参见包年包月。	高级版
可防护公网IP数	互联网边界隔离防护支持添加保护的公网IP的数量。	20个
公网流量处理能力	云防火墙可以防护的公网方向的流量峰值，建议与您业务的公网带宽保持一致。	10 Mbps
访问控制全局扩展	支持的访问控制策略授权规格。	0
多账号统一管理	是否开通多账号统一管理。	是
多账号管控数	支持添加阿里云成员账号的数量。	2
日志分析	是否开启日志分析功能。云防火墙默认存储最近7天的日志，如果需要存储更长时间的日志或满足等保要求，您需要开启云防火墙的即日志分析功能。	否
购买时长	服务购买时长。根据您的实际需求开启到期自动续费。	1个月

单击立即购买并完成支付。

配置云防火墙多账号统一管理

完成资源目录配置后，您可以通过云防火墙控制台添加资源目录下的成员账号到云防火墙的成员账号列表，然后您可以直接在云防火墙控制台查看成员账号的云资源、配置跨账号云资源流量访问控制等。

1. 添加云防火墙成员账号

使用阿里云账号A登录云防火墙控制台。
在左侧导航栏，选择设置 > 统一账号管理。
在统一账号管理页面，单击添加成员账号。
在添加成员账号对话框，将阿里云账号B的ID添加到右侧已选导入云防火墙成员账号列表。
在右侧已选导入云防火墙成员账号列表，选择阿里云账号B的ID，单击确定。
完成添加成员账号后，默认授权云防火墙可以访问成员账号下的云资源。

2. 开启互联网边界防火墙

如果您在开启新增资产自动保护功能，则无需执行此步骤，云防火墙自动开启ECS资产防护。

使用阿里云账号A登录云防火墙控制台。
在左侧导航栏，单击防火墙开关。
在互联网边界防火墙页签，单击同步资产，系统为您同步当前账号及其成员账号的资产信息。整个过程预计需要1~2分钟。
您可以通过IP列的UID信息，判断当前资产所属的阿里云账号。
在资产列表中找到需要开启防护的云资产，在操作列单击开启保护。
开启互联网边界防火墙后，防火墙状态更新为保护中，表示互联网边界防火墙的防护已生效。

3. 配置访问控制策略

通过创建访问控制策略，管控ECS访问公网流量。按照本方案架构，ECS-1可以访问互联网，ECS-2无法访问互联网。云防火墙互联网边界访问控制策略默认放行所有流量，因此您只需要创建拦截ECS-2访问互联网的流量策略即可。

使用阿里云账号A登录云防火墙控制台。
在左侧导航栏，选择访问控制 > 互联网边界。
在出向页签，单击创建策略。

在创建出向策略面板，设置策略，然后单击确定。

配置项	说明	示例值
源类型	选择访问源的类型，本方案中为ECS-2的对外访问类型。	IP
访问源	输入ECS-2的公网IP地址。	47.111.XX.XX/32
目的类型	选择目的地址类型。	IP
目的	设置接收流量的目的地址。	0.0.0.0/0 说明 0.0.0.0/0表示所有主机的IP地址。
协议类型	设置该内到外访问流量的协议类型。	ANY
端口	设置需要放开或限制的端口。	0/0 说明 0/0表示主机的所有端口。
应用	设置该内到外访问流量的应用类型。	ANY
动作	设置允许或拒绝该流量通过互联网边界防火墙。	拒绝
优先级	选择该策略的优先级，默认为最后，表示优先级最低。	最后
启用状态	设置策略是否启用。	启用

完成及清理

方案验证

完成了配置后，您可以参考以下步骤，验证ECS-1和ECS-2能否访问互联网。按照本方案架构，ECS-1可以正常访问互联网，ECS-2无法访问互联网。

登录ECS管理控制台。在顶部菜单栏，选择ECS实例所在的地域。
在左侧导航栏，选择实例与镜像>实例。
找到ECS实例，在操作列单击远程连接，选择通过Workbench远程连接方式连接ECS实例。
在ECS实例上通过ping互联网域名或IP（例如ping aliyun.com），检查ECS能否访问互联网。

清理资源

测试完方案后，您可以参考以下方式处理对应产品的实例，避免继续产生费用：

释放资源目录服务：
资源目录为免费产品，开通后即可正常使用，不收取任何费用，您无需手动释放。
释放云防火墙包年包月版：
- 退订资源：如果您开通实例未超过5天，并且满足五天无理由全额退订条件，您可以访问用户中心，在订单管理 > 退订管理 > 退订使用中资源 > 普通云产品页面，申请无理由全额退款。更多信息，请参见退款说明。
- 自动释放：云防火墙包年包月版到期后，实例将停止服务，并且在到期后7天自动释放实例。
- 手动释放：在云防火墙实例到期前15日~到期后7日期间，您可以登录云防火墙控制台，在概览页面右上角，选择更多 > 提前释放。提前手动释放云防火墙包年包月版不提供退款。
释放的云服务器ECS实例、专有网络VPC：
分别使用阿里云账号A、阿里云账号B登录资源编排控制台，在资源栈页面，找到资源栈，然后在操作列单击删除，按照界面提示释放实例。