自定义分组

云防火墙通过业务间的流量可视化,帮助用户了解业务之间的访问关系,以此判断执行什么样的访问控制策略。

前提条件

在实现流量可视化之前,用户需先创建业务区、应用组,并将应用添加到业务区和应用组,以建立应用和应用组、业务区之间的关系。

背景信息

您需要提前了解以下概念:

  • 业务区:业务区是东西向业务可视中,构成用户某个业务的各个应用组的集合,通常是按您实际业务的类型进行分类。例如:门户网站业务区(将包含Web应用组、DB应用组)等。

  • 应用组:应用组是东西向业务可视中,提供的相同或相似服务的应用集合。例如:所有部署了MySQL的ECS可以归属到同一个DB应用组。

  • 应用:应用是东西向业务可视的最小单位。默认情况下,一个应用等于一台ECS上所有开放端口的集合。您可以通过指定端口克隆应用来创建新的应用。

步骤一:创建业务区

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择系统设置 > 业务可视

  3. 自定义分组页面,单击业务区

  4. 业务区页签,选择您要创建的业务区所属的VPC。

    重要

    VPC包括用户已有的VPC网络和ECS经典网络。每个业务区必须并且只能属于一个VPC。

  5. 单击新建业务区

  6. 新建业务区对话框中配置业务区信息。

    • 名称:业务区的命名,手动输入。长度范围为1~40个字符。

    • 备注:业务区的备注信息。

    • 程度:业务区的重要程度,帮助您在业务关系可视图中清晰区分不同重要程度的业务区。可选择一般重要非常重要3个程度。

      您可以在应用分组可视页面,通过筛选不同的重要程度等级,查看对应重要级别的业务区。

  7. 单击确定,完成业务区的创建。

    业务区创建完成后,会归属到您之前选择的VPC中。您可在业务区列表中,对业务区基本信息进行编辑删除业务区。

    说明

    业务区下存在应用组时,不可删除业务区。

步骤二:创建应用组

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择系统设置 > 业务可视

  3. 自定义分组页面,单击应用组

  4. 应用组页签,选择您要创建的应用组所属的VPC。

  5. 单击新建应用组

  6. 新建应用组对话框中配置应用组的信息。

    • 名称:应用组的命名,手动输入。长度范围为1~40个字符。

    • 备注:应用组的备注信息。

    • 程度:应用组的重要程度,帮助您在业务关系可视图中清晰区分不同重要程度的业务区。可选择一般重要非常重要3个程度。

      您可以在应用分组可视页面,双击打开某个业务区后,通过筛选不同的重要程度等级,查看对应重要级别的应用组。

    • 业务区:可选选择已有业务区新建业务区

      • 选择了选择已有业务区选项,则需在下方名称下拉框中选择之前您已创建好的业务区名称。

        重要

        创建应用组后,该应用组将会被自动加到应用组归属的业务区所在的VPC。

      • 如果选择新建业务区,则需在下方填写新建业务区的名称备注信息并选择重要程度

  7. 单击确定,完成应用组的创建。

  8. (可选步骤)单击操作栏的分配,可修改应用组所属的业务区。

    完成业务区分配后,业务区页面的应用组数量将会同步更新。

    应用组创建完成后,还可在应用组列表中,对应用组的基本信息进行编辑删除应用组。

    说明

    应用组下存在应用时,不可删除应用组。

步骤三:为应用分配应用组和业务区

您可在应用页面查看云防火墙中已有的业务区、应用组、应用和ECS数量。

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择系统设置 > 业务可视

  3. 自定义分组页面,单击应用

  4. 通过搜索功能定位到需要操作的应用。

  5. 单击操作栏的分配,将该应用添加到之前您已创建好的业务区和应用组中。

    说明

    完成应用分配后,业务区页面的业务区数量和应用组数量将会同步更新。

  6. (可选步骤)您也可以在应用列表中,单击右侧操作栏的克隆,复制现有的应用。

    云防火墙开通后会对每个ECS创建一个默认的应用,访问ECS的流量会自动映射到该默认应用中。如果ECS中有多个应用属于不同的业务类型,您可以通过克隆操作创建新的应用,并为该应用分配另一个业务区和应用组。克隆应用时,可对应用所属的ECS实例ID、侦听端口进程名进行修改。

后续操作

应用分组可视