因安骑士产品功能调整,原有的主机访问控制与安全运维功能已下线。
主机访问控制
原功能说明
主机访问控制为主机提供类似安全组或iptable防火墙的功能,实现对于主机端口的访问控制。
如果您需要查看已设置的访问控制规则或将已设置的规则进行迁移,单击此处进入原功能控制台。
主机访问控制功能关闭及规则清除计划
您通过主机访问控制功能设置的访问控制规则将按照以下计划进行清除。
说明 访问控制规则的清除过程不会影响您业务的正常运行。
- 如果您在云盾服务器安全(安骑士)管理控制台中已经不存在主机访问控制功能目录,说明您当前使用的安骑士版本已没有该功能的使用权限,我们将在2018年3月20日将您主机访问控制功能中的规则进行清除。请确认您所需设置的主机访问控制规则已通过其它功能(如ECS安全组或iptables等)进行配置。
- 如果您在云盾服务器安全(安骑士)管理控制台中仍然可以使用主机访问控制功能,请尽快完成主机访问控制规则的迁移工作,我们将在2018年3月20日停止规则编辑功能,在3月30日您主机访问控制功能中的规则进行清除并将主机访问控制功能从云盾服务器安全(安骑士)管理控制台中移除。
主机访问控制规则迁移建议
- 安全组
您可以使用ECS的安全组功能配置端口访问控制规则,将已在主机访问控制功能中配置的规则迁移到安全组中。说明 如果所配置的主机访问控制规则已经不再需要或相关的访问控制规则已经在安全组中配置完成,您无需迁移安骑士主机访问控制功能中配置的规则。
- 对于在主机访问控制功能中已配置的入方向或出方向的端口黑白名单规则,您需要创建安全组并将需要配置访问控制策略的ECS实例加入该安全组,在安全组中添加相应的安全组规则。
例如,如果您在主机访问控制功能中配置了以下规则。
您可以通过在安全组中添加以下安全组规则,对ECS实例实现同样效果的端口访问控制。
说明 对于主机访问控制功能中设置的非80端口的HTTP协议的端口访问控制策略,在安全组中可以通过设置自定义TCP协议类型的规则对所需端口进行访问控制。 - 对于在主机访问控制功能中所设置的全局黑白名单,您需要在ECS实例所在的安全组中添加协议类型为全部,授权对象为黑白名单IP的安全组规则。
例如,添加以下安全组规则可以对安全组中的所有ECS实例实现类似全局黑名单的访问控制效果。说明 您需要在安全组中分别添加出方向和入方向的两条规则,实现类似全局黑名单的访问控制效果。
关于安全组的详细功能说明,请查看安全组。
- 对于在主机访问控制功能中已配置的入方向或出方向的端口黑白名单规则,您需要创建安全组并将需要配置访问控制策略的ECS实例加入该安全组,在安全组中添加相应的安全组规则。
- iptables
如果安全组功能无法完全满足您的主机访问控制规则需求,或者您通过安骑士防护的主机是非阿里云云服务器主机(ECS实例),您可以使用Linux系统自带的iptables防火墙功能配置访问控制规则,将已在主机访问控制功能中配置的规则迁移到iptables中。说明 使用iptables防火墙所配置的访问控制规则仅针对本机生效,因此您需要在每台主机中配置相应的iptables访问控制规则。
例如,您可以在Linux系统主机中添加以下iptables规则实现主机的访问控制。
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # HTTP说明 对于Windows系统的主机,您可以通过系统自带的Windows防火墙的高级配置功能实现主机的访问控制。对于主机访问控制功能中配置的HTTP访问控制策略,建议您使用云盾Web应用防火墙实现更强大的Web应用访问控制。
安全运维
原功能说明
安全运维通过长连接命令通道,提供对主机进行批量运维的功能。通过安骑士的安全运维功能将自定义的bat、shell脚本批量下发到指定的主机,并查看执行结果。
安全运维功能关闭计划
安全运维功能将统一在2018年3月20日从云盾服务器安全(安骑士)管理控制台中移除。
您可以通过在 ECS 实例中安装云助手客户端,实现主机日常运维功能。关于云助手的详细功能说明,请查看云助手。