本文为您介绍如何配置云防火墙和运维安全中心(堡垒机)联合部署时的访问策略,避免运维安全中心(堡垒机)访问被云防火墙误拦截,影响业务运行。

应用场景

云防火墙可以联合运维安全中心(堡垒机)共同部署,防护互联网的访问流量,为您的业务提供安全保障。但在联合部署场景中,运维安全中心(堡垒机)的访问流量可能会被云防火墙误拦截,导致运维安全中心(堡垒机)无法正常访问互联网。因此,我们需要为云防火墙配置互联网边界防火墙的访问控制策略,保证在不影响运维安全中心(堡垒机)业务的情况下,云防火墙可以防护运维安全中心(堡垒机)与互联网之间的流量。

云防火墙为运维安全中心(堡垒机)提供安全防护的原理图如下图所示。

原理图

如果您未按照以下操作配置,可能会导致无法正常访问运维安全中心(堡垒机)的业务端口、无法导入资产和用户,以及无法使用网页运维和播放录像。

前提条件

配置流程

lucheng

步骤一:配置入方向的放行策略

配置互联网边界防火墙入方向策略,允许互联网访问运维安全中心(堡垒机)的开放端口。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制 > 互联网边界
  3. 入向页签,单击创建策略
  4. 创建入向策略面板的自定义创建页签,参考入向策略配置项说明表创建一条对互联网访问源放行的策略。然后单击确定
    配置项说明
    源类型选择IP类型。
    访问源填写允许访问运维安全中心(堡垒机)的互联网IP地址段。
    目的类型选择IP类型。
    目的填写运维安全中心(堡垒机)运维域名地址解析的IP地址。
    说明 您可以访问互联网边界防火墙页面,通过筛选资产类型查看您的运维安全中心(堡垒机)IP地址,而无需切换到运维安全中心(堡垒机)控制台去查看IP信息。
    协议类型选择TCP
    端口类型选择端口或者地址簿

    当您需要开放多个运维安全中心(堡垒机)端口时,可以将这些端口先配置在地址簿中。在此选择对应地址簿即可。

    说明 地址簿用于添加多个IP地址或端口进行批量配置,可简化您的配置流程。如果您只需要开放一个端口,无需创建地址簿。
    端口端口类型选择端口时,您需要设置运维安全中心(堡垒机)端口。常用的运维安全中心(堡垒机)业务及端口如下,您可以根据实际情况配置。
    • SSH运维:60022
    • RDP运维:63389
    • 录像播放端口:9443
    • 主机运维端口及运维门户:443
    应用选择ANY
    动作选择放行,表示允许互联网地址访问运维安全中心(堡垒机)对外开放的端口。
    描述对访问控制策略进行描述或备注。输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
    优先级设置访问控制策略的优先级为最前
    启用状态设置策略为启用状态。
  5. 创建一条对所有互联网地址拒绝访问运维安全中心(堡垒机)的策略。
    参考入向策略配置项说明表,设置访问源为0.0.0.0/0、优先级设置为最后

步骤二:配置出方向的放行策略

运维安全中心(堡垒机)需要通过互联网访问云服务,因此需要配置互联网边界防火墙出方向策略,允许运维安全中心(堡垒机)对互联网访问。

  1. 出向页签,单击创建策略
  2. 创建出向策略面板的自定义创建页签,参考出方向策略配置项说明表创建一条对运维安全中心(堡垒机)访问员放行的策略。然后单击确定
    配置项说明
    源类型选择IP类型。
    访问源填写运维安全中心(堡垒机)出口IP地址。
    目的类型选择域名
    目的填写云服务的域名地址。常用的功能及域名地址如下。
    • 运维门户登录:afs.aliyuncs.com
    • RAM用户导入:ram.aliyuncs.com
    • 导入ECS:ecs.aliyuncs.com、ecs.[region-id].aliyuncs.com
    • 导入RDS:rds.aliyuncs.com、rds.[region-id].aliyuncs.com
    说明 [region-id]为实例所在区域ID,如上海的ID为cn-shanghai。
    协议类型选择TCP协议类型。
    端口类型选择端口或者地址簿

    当您需要开放多个云服务的端口时,可以将这些端口先配置在地址簿中。在此选择对应地址簿即可。

    说明 地址簿用于添加多个IP地址或端口进行批量配置,可简化您的配置流程。如果您只需要开放一个端口,无需创建地址簿。
    端口端口类型选择端口时,您需要设置运维安全中心(堡垒机)的端口:443、80。
    应用选择HTTPHTTPS
    动作选择放行,表示允许运维安全中心(堡垒机)对外开放的端口访问互联网地址。
    描述输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
    优先级设置访问控制策略的优先级为最前
    启用状态设置策略为启用状态。
  3. 创建一条对运维安全中心(堡垒机)所有地址拒绝访问互联网的策略。
    参考出方向策略配置项说明表,设置访问源为0.0.0.0/0、优先级设置为最后

步骤三:开启云防火墙对运维安全中心的防护

策略配置完成后,您需要开启互联网边界防火墙开关,开启对运维安全中心(堡垒机)的防护。

  1. 在左侧导航栏,单击防火墙开关
  2. 互联网边界页签,定位到运维安全中心(堡垒机)的IP,单击右侧操作列的开启保护
    说明 新购买的运维安全中心(堡垒机)大概需要15~30分钟同步到云防火墙。
    完成以上配置后,即可实现云防火墙保护运维安全中心(堡垒机)的同时不影响运维安全中心(堡垒机)业务的正常使用。您可以登录运维安全中心(堡垒机)导入资产和用户,进行运维及审计。

步骤四:验证配置是否成功

如果您能正常访问运维安全中心(堡垒机)的业务端口、并导入资产和用户,能使用网页运维和播放录像,表示配置成功。您可以访问互联网边界防火墙流量日志页签,查看运维安全中心(堡垒机)与互联网之间的流量日志。具体操作,请参见流量日志