本文为您介绍如何配置云防火墙和运维安全中心(堡垒机)联合部署时的访问策略,避免运维安全中心(堡垒机)访问被云防火墙误拦截,影响业务运行。
应用场景
云防火墙可以联合运维安全中心(堡垒机)共同部署,防护互联网的访问流量,为您的业务提供安全保障。但在联合部署场景中,运维安全中心(堡垒机)的访问流量可能会被云防火墙误拦截,导致运维安全中心(堡垒机)无法正常访问互联网。因此,我们需要为云防火墙配置互联网边界防火墙的访问控制策略,保证在不影响运维安全中心(堡垒机)业务的情况下,云防火墙可以防护运维安全中心(堡垒机)与互联网之间的流量。
云防火墙为运维安全中心(堡垒机)提供安全防护的原理图如下图所示。
如果您未按照以下操作配置,可能会导致无法正常访问运维安全中心(堡垒机)的业务端口、无法导入资产和用户,以及无法使用网页运维和播放录像。
前提条件
已购买云防火墙。具体步骤,请参见购买云防火墙服务。
已购买并启用运维安全中心(堡垒机)。具体步骤,请参见购买运维安全中心实例、启用堡垒机。
配置流程
步骤一:配置入方向的放行策略
配置互联网边界防火墙入方向策略,允许互联网访问运维安全中心(堡垒机)的开放端口。
登录云防火墙控制台。
在左侧导航栏,选择。 。
在入向页签,单击创建策略。
在创建入向策略面板的自定义创建页签,参考入向策略配置项说明表创建一条对互联网访问源放行的策略。然后单击确定。
配置项
说明
源类型
选择IP类型。
访问源
填写允许访问运维安全中心(堡垒机)的互联网IP地址段。
目的类型
选择IP类型。
目的
填写运维安全中心(堡垒机)运维域名地址解析的IP地址。
说明您可以访问互联网边界防火墙页面,通过筛选资产类型查看您的运维安全中心(堡垒机)IP地址,而无需切换到运维安全中心(堡垒机)控制台去查看IP信息。
协议类型
选择TCP。
端口类型
选择端口或者地址簿。
当您需要开放多个运维安全中心(堡垒机)端口时,可以将这些端口先配置在地址簿中。在此选择对应地址簿即可。
说明地址簿用于添加多个IP地址或端口进行批量配置,可简化您的配置流程。如果您只需要开放一个端口,无需创建地址簿。
端口
当端口类型选择端口时,您需要设置运维安全中心(堡垒机)端口。常用的运维安全中心(堡垒机)业务及端口如下,您可以根据实际情况配置。
SSH运维:60022
RDP运维:63389
录像播放端口:9443
主机运维端口及运维门户:443
单点登录器端口:20045
应用
选择ANY。
动作
选择放行,表示允许互联网地址访问运维安全中心(堡垒机)对外开放的端口。
描述
对访问控制策略进行描述或备注。输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
优先级
设置访问控制策略的优先级为最前。
启用状态
设置策略为启用状态。
创建一条对所有互联网地址拒绝访问运维安全中心(堡垒机)的策略。
参考入向策略配置项说明表,设置访问源为0.0.0.0/0、优先级设置为最后。
步骤二:配置出方向的放行策略
运维安全中心(堡垒机)需要通过互联网访问云服务,因此需要配置互联网边界防火墙出方向策略,允许运维安全中心(堡垒机)对互联网访问。
在出向页签,单击创建策略。
在创建出向策略面板的自定义创建页签,参考出方向策略配置项说明表创建一条对运维安全中心(堡垒机)访问员放行的策略。然后单击确定。
配置项
说明
源类型
选择IP类型。
访问源
填写运维安全中心(堡垒机)出口IP地址。
目的类型
选择地址簿,并在选择地址簿面板,选择云地址簿,搜索阿里云可信域名Alibaba credible domains。
协议类型
选择TCP协议类型。
端口类型
选择端口或者地址簿。
当您需要开放多个云服务的端口时,可以将这些端口先配置在地址簿中。在此选择对应地址簿即可。
说明地址簿用于添加多个IP地址或端口进行批量配置,可简化您的配置流程。如果您只需要开放一个端口,无需创建地址簿。
端口
当端口类型选择端口时,您需要设置运维安全中心(堡垒机)的端口:443、80。
应用
选择HTTP 、HTTPS。
动作
选择放行,表示允许运维安全中心(堡垒机)对外开放的端口访问互联网地址。
描述
输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
优先级
设置访问控制策略的优先级为最前。
启用状态
设置策略为启用状态。
创建一条对运维安全中心(堡垒机)所有地址拒绝访问互联网的策略。
参考出方向策略配置项说明表,设置访问源为0.0.0.0/0、优先级设置为最后。
步骤三:开启云防火墙对运维安全中心的防护
策略配置完成后,您需要开启互联网边界防火墙开关,开启对运维安全中心(堡垒机)的防护。
在左侧导航栏,单击防火墙开关。。
在互联网边界页签,定位到运维安全中心(堡垒机)的IP,单击右侧操作列的开启保护。
说明新购买的运维安全中心(堡垒机)大概需要15~30分钟同步到云防火墙。
完成以上配置后,即可实现云防火墙保护运维安全中心(堡垒机)的同时不影响运维安全中心(堡垒机)业务的正常使用。您可以登录运维安全中心(堡垒机)导入资产和用户,进行运维及审计。
步骤四:验证配置是否成功
如果您能正常访问运维安全中心(堡垒机)的业务端口、并导入资产和用户,能使用网页运维和播放录像,表示配置成功。您可以访问互联网边界防火墙流量日志页签,查看运维安全中心(堡垒机)与互联网之间的流量日志。具体操作,请参见日志审计。