云防火墙和运维安全中心(堡垒机)联合部署访问策略的最佳实践

本文为您介绍如何配置云防火墙和运维安全中心(堡垒机)联合部署时的访问策略,避免运维安全中心(堡垒机)访问被云防火墙误拦截,影响业务运行。

应用场景

云防火墙可以联合运维安全中心(堡垒机)共同部署,防护互联网的访问流量,为您的业务提供安全保障。但在联合部署场景中,运维安全中心(堡垒机)的访问流量可能会被云防火墙误拦截,导致运维安全中心(堡垒机)无法正常访问互联网。因此,我们需要为云防火墙配置互联网边界防火墙的访问控制策略,保证在不影响运维安全中心(堡垒机)业务的情况下,云防火墙可以防护运维安全中心(堡垒机)与互联网之间的流量。

云防火墙为运维安全中心(堡垒机)提供安全防护的原理图如下图所示。

原理图

如果您未按照以下操作配置,可能会导致无法正常访问运维安全中心(堡垒机)的业务端口、无法导入资产和用户,以及无法使用网页运维和播放录像。

前提条件

配置流程

lucheng

步骤一:配置入方向的放行策略

配置互联网边界防火墙入方向策略,允许互联网访问运维安全中心(堡垒机)的开放端口。

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择防护配置 > 访问控制 > 互联网边界

  3. 入向页签,单击创建策略

  4. 创建入向策略面板的自定义创建页签,参考入向策略配置项说明表创建一条对互联网访问源放行的策略。然后单击确定

    配置项

    说明

    源类型

    选择IP类型。

    访问源

    填写允许访问运维安全中心(堡垒机)的互联网IP地址段。

    目的类型

    选择IP类型。

    目的

    填写运维安全中心(堡垒机)运维域名地址解析的IP地址。

    说明

    您可以访问互联网边界防火墙页面,通过筛选资产类型查看您的运维安全中心(堡垒机)IP地址,而无需切换到运维安全中心(堡垒机)控制台去查看IP信息。

    协议类型

    选择TCP

    端口类型

    选择端口或者地址簿

    当您需要开放多个运维安全中心(堡垒机)端口时,可以将这些端口先配置在地址簿中。在此选择对应地址簿即可。

    说明

    地址簿用于添加多个IP地址或端口进行批量配置,可简化您的配置流程。如果您只需要开放一个端口,无需创建地址簿。

    端口

    端口类型选择端口时,您需要设置运维安全中心(堡垒机)端口。常用的运维安全中心(堡垒机)业务及端口如下,您可以根据实际情况配置。

    • SSH运维:60022

    • RDP运维:63389

    • 录像播放端口:9443

    • 主机运维端口及运维门户:443

    • 单点登录器端口:20045

    应用

    选择ANY

    动作

    选择放行,表示允许互联网地址访问运维安全中心(堡垒机)对外开放的端口。

    描述

    对访问控制策略进行描述或备注。输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。

    优先级

    设置访问控制策略的优先级为最前

    启用状态

    设置策略为启用状态。

  5. 创建一条对所有互联网地址拒绝访问运维安全中心(堡垒机)的策略。

    参考入向策略配置项说明表,设置访问源为0.0.0.0/0、优先级设置为最后

步骤二:配置出方向的放行策略

运维安全中心(堡垒机)需要通过互联网访问云服务,因此需要配置互联网边界防火墙出方向策略,允许运维安全中心(堡垒机)对互联网访问。

  1. 出向页签,单击创建策略

  2. 创建出向策略面板的自定义创建页签,参考出方向策略配置项说明表创建一条对运维安全中心(堡垒机)访问员放行的策略。然后单击确定

    配置项

    说明

    源类型

    选择IP类型。

    访问源

    填写运维安全中心(堡垒机)出口IP地址。

    目的类型

    选择地址簿,并在选择地址簿面板,选择云地址簿,搜索阿里云可信域名Alibaba credible domains

    协议类型

    选择TCP协议类型。

    端口类型

    选择端口或者地址簿

    当您需要开放多个云服务的端口时,可以将这些端口先配置在地址簿中。在此选择对应地址簿即可。

    说明

    地址簿用于添加多个IP地址或端口进行批量配置,可简化您的配置流程。如果您只需要开放一个端口,无需创建地址簿。

    端口

    端口类型选择端口时,您需要设置运维安全中心(堡垒机)的端口:443、80。

    应用

    选择HTTPHTTPS

    动作

    选择放行,表示允许运维安全中心(堡垒机)对外开放的端口访问互联网地址。

    描述

    输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。

    优先级

    设置访问控制策略的优先级为最前

    启用状态

    设置策略为启用状态。

  3. 创建一条对运维安全中心(堡垒机)所有地址拒绝访问互联网的策略。

    参考出方向策略配置项说明表,设置访问源为0.0.0.0/0、优先级设置为最后

步骤三:开启云防火墙对运维安全中心的防护

策略配置完成后,您需要开启互联网边界防火墙开关,开启对运维安全中心(堡垒机)的防护。

  1. 在左侧导航栏,单击防火墙开关

  2. 互联网边界页签,定位到运维安全中心(堡垒机)的IP,单击右侧操作列的开启保护

    说明

    新购买的运维安全中心(堡垒机)大概需要15~30分钟同步到云防火墙。

    完成以上配置后,即可实现云防火墙保护运维安全中心(堡垒机)的同时不影响运维安全中心(堡垒机)业务的正常使用。您可以登录运维安全中心(堡垒机)导入资产和用户,进行运维及审计。

步骤四:验证配置是否成功

如果您能正常访问运维安全中心(堡垒机)的业务端口、并导入资产和用户,能使用网页运维和播放录像,表示配置成功。您可以访问互联网边界防火墙流量日志页签,查看运维安全中心(堡垒机)与互联网之间的流量日志。具体操作,请参见日志审计