通过云防火墙统一管理企业用户
统一账号管理能够帮助您统一企业安全策略,降低由于管控疏漏导致的网络安全事件,实现统一防护及时防御,提升业务安全性。本文以统一管理同地域的两个阿里云账号所部署的专有网络VPC(Virtual Private Cloud)为例,介绍如何使用云防火墙实现多个账号的VPC资源共享及流量安全访问。
背景信息
随着企业上云的进一步深入,越来越多的企业业务迁移至云端,企业购买的云资源迅速增多,资源、项目、人员、权限管理变得极其复杂,单账号负载过重已无力支撑,多账号上云模式逐渐成为多业务上云的重要选择。企业用户对于跨账号的云资源具有集中化管理需求,主要体现在安全、审计合规、网络、运维等产品。
基于以上需求,云防火墙支持通过阿里云资源管理的可信服务功能,将多个阿里云账号汇总到一个资源目录(其中每个阿里云账号表示一个成员账号),并委派特定的成员作为管理员,使其可以访问资源目录下所有成员账号包含的资源,实现多个阿里云账号的公网资产和VPC资产统一引流保护、策略配置、流量分析、入侵防护、攻击防护、失陷感知、日志审计分析。
在操作之前,您需要了解如下账号信息:
账号名称 | 说明 | 开通资源管理的权限说明 | 开通云防火墙的权限说明 |
企业管理员账号 | 企业管理账号可以邀请资源目录以外的阿里云账号加入到资源目录,作为资源目录的成员,实现资源的统一管理。 | 拥有该企业所有资产的管理权限。 | 可以管理云防火墙上所有的资产。 |
委派管理员账号 | 企业管理账号可以将资源目录中的成员设置为可信服务的委派管理员账号。设置成功后,委派管理员账号将获得企业管理账号的授权,可以在对应可信服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。 说明 通过委派管理员账号,可以将组织管理任务与业务管理任务相分离,企业管理账号执行资源目录的组织管理任务,委派管理员账号执行可信服务的业务管理任务。 | 拥有该企业所有资产的管理权限。 | 可以管理云防火墙上所有的资产。 |
成员账号 | 被企业管理员账号邀请,且成功加入资源目录后,会作为资源目录的成员。 | 成员账号只可以管理本账号的资产。 | 不允许购买云防火墙。 |
目前,云防火墙的VPC边界防火墙功能支持同步以下几种VPC连通方式。本文以阿里云账号所部署的VPC通过VPC对等连接方式连通为例。
通过云企业网的转发路由器(企业版)连通的VPC。具体操作,请参见使用企业版转发路由器创建VPC连接。
通过云企业网的转发路由器(基础版)连通的VPC。具体操作,请参见使用基础版转发路由器创建VPC连接。
通过高速通道或者VPC对等连接连通的VPC。具体操作,请参见创建和管理VPC对等连接。
场景示例
网络部署
某企业阿里云账号A在华北2(北京)地域部署了BJ-VPC1、BJ-VPC2两个VPC实例,BJ-VPC1下部署了1台BJ-VPC1-ECS1实例,BJ-VPC2下部署了1台BJ-VPC2-ECS2实例;阿里云账号B在华北2(北京)地域部署了BJ-VPC3、BJ-VPC4两个VPC实例,BJ-VPC3下部署了1台BJ-VPC3-ECS3实例,BJ-VPC4下部署了1台BJ-VPC4-ECS4实例。并且使用VPC对等连接功能实现了BJ-VPC1和BJ-VPC2,BJ-VPC3和BJ-VPC4的流量互通。
需求及方案
该企业现在需要只在阿里云账号A开通云防火墙的情况下,检测BJ-VPC1和BJ-VPC2之间的流量、BJ-VPC3和BJ-VPC4之间的流量,并保障VPC之间流量互访安全,且满足BJ-VPC1-ECS1不能访问BJ-VPC2-ECS2。基于上述诉求,该企业可以使用云防火墙统一账号管理、VPC边界防火墙、访问控制功能实现业务需求。
本文示例中,委派管理员账号即阿里云账号A。在实际业务场景中,您根据业务需要,设置相关账号。
场景示意如下:

前提条件
已为企业管理员账号开通资源目录。具体操作,请参见开通资源目录。
已为阿里云账号A开通云防火墙高级版、企业版和旗舰版。详细信息,请参见包年包月。
说明如需添加更多成员账号,您需要升级云防火墙规格,扩充多账号管控数。
已为阿里云账号A、阿里云账号B分别部署了2个相同地域的专有网络VPC。具体操作,请参见创建和管理专有网络。
已为阿里云账号A、阿里云账号B部署的VPC分别购买了两台ECS实例。具体操作,请参见创建云资源。
已为阿里云账号A、阿里云账号B下的VPC分别建立VPC对等连接。具体操作,请参见创建和管理VPC对等连接。
网络规划如下:
配置的资源 | 阿里云账号A | 阿里云账号B |
账号ID | 135809047715**** | 166032244439**** |
VPC | BJ-VPC1
BJ-VPC2
| BJ-VPC3
BJ-VPC4
|
ECS | BJ-VPC1-ECS1
BJ-VPC2-ECS2
| BJ-VPC3-ECS3
BJ-VPC4-ECS4
|
配置流程

步骤一:邀请资源目录的成员
企业管理账号可以邀请资源目录以外的阿里云账号加入到资源目录,作为资源目录的成员,实现资源的统一管理。
使用企业管理员账号登录资源管理控制台。
- 在左侧导航栏,选择 。
- 单击邀请成员。
在邀请成员面板,填写邀请的账号UID/账号登录邮箱为阿里云账号A的ID(135809047715****)和阿里云账号B的ID(166032244439****),确认并勾选风险提示。
说明此处邮箱是注册账号时的登录邮箱,而非注册账号后绑定的备用邮箱。您可以一次性输入多个阿里云账号实现批量邀请,使用半角逗号(,)分隔。
单击确定。
步骤二:为资源目录添加委派管理员
通过委派管理员账号,可以将组织管理任务与业务管理任务相分离,企业管理账号执行资源目录的组织管理任务,委派管理员账号执行可信服务的业务管理任务。本文示例中,委派管理员账号即阿里云账号A。
使用企业管理员账号登录资源管理控制台。
- 在左侧导航栏,选择 。
- 在可信服务页面,单击目标可信服务操作列的管理。
- 在委派管理员账号区域,单击添加。
在委派管理员账号面板,选中阿里云账号A的ID(135809047715****)。
- 单击确定。添加成功后,使用该委派管理员账号访问对应可信服务的多账号管理模块,即可进行资源目录组织范围内的管理操作。
步骤三:添加云防火墙成员账号
云防火墙支持通过阿里云资源管理的可信服务功能,将多个阿里云账号汇总到一个资源目录(其中每个阿里云账号表示一个成员账号),实现资源目录下所有成员账号之间共享资源。
使用阿里云账号A登录云防火墙控制台。
在左侧导航栏,选择。
在多账号统一管理页面,单击添加成员账号。
在添加成员账号对话框,将阿里云账号B的ID(166032244439****)添加到右侧已选导入云防火墙成员账号列表。
在右侧已选导入云防火墙成员账号列表,选择阿里云账号B的ID(166032244439****),单击确定。
此时,阿里云账号A(135809047715****)成功添加阿里云账号B(166032244439****)为它的成员账号。
完成添加成员账号后,默认授权云防火墙可以访问成员账号下的云资源。当VPC边界防火墙防护的云企业网下的网络实例是跨账号开通的VPC时,需要您手动授权云防火墙可以访问该VPC所属阿里云账号下的云资源。详细信息,请参见授权云防火墙访问云资源。
步骤四:创建VPC边界防火墙
当两个VPC已建立VPC对等连接,可以通过创建VPC边界防火墙,帮助您检测两个VPC间的通信流量。
开启VPC边界防火墙开关,会有短暂的路由切换,可能引起跨VPC的业务闪断,建议您在业务低峰期进行操作。
使用阿里云账号A登录云防火墙控制台。在左侧导航栏,单击防火墙开关。
在防火墙开关页面,单击VPC边界防火墙。
在高速通道页签,定位到VPC实例为BJ-VPC1和对端VPC实例为BJ-VPC2的数据,单击右侧操作列的创建。
云防火墙每隔半小时会为您自动同步一次资源。如果您刚创建好资源,需耐心等待半个小时。
在创建VPC边界防火墙对话框,配置如下信息。然后单击提交。
配置项
说明
示例
实例名
定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您使用具有业务意义的名称,并保证名称的唯一性。
统一账号管理test
对等互通方式
确认互通方式。对等互通方式指VPC之间或VPC与本地数据中心之间的通信方式,此处固定为高速通道,无需您手动设置。
高速通道
确认VPC的相关信息
确认VPC地域和VPC实例,选择要防护的路由表,并填写目标网段。
路由表
创建VPC时,系统会为您自动创建一张默认的路由表,用于为专有网络添加系统路由来管理专有网络的流量。VPC支持按需创建多个路由表。详细内容,请参见路由表概述。
在云防火墙控制台创建VPC边界防火墙时,云防火墙自动读取您的VPC路由表信息。高速通道支持多个路由表,因此您在高速通道下创建VPC边界防火墙时可看到多个路由表,并可以选择需要防护的VPC路由表。
目标网段
在路由表下拉列表中选中某个路由时,目标网段会自动展示该路由表的默认目标网段。如果您需要防护其它网段,可手动修改目标网段。支持添加多个网段,多个网段间用半角逗号(,)隔开。
本端VPC:
地域:华北2(北京)
VPC:vpc-2zekde0udtz2s1hn9****-BJ-VPC1
防火墙IP/网卡:10.33.33.15-eni-2zeau3rre2q3llavidw0
路由表:vtb-2zeo25fbkcvc2lx7j****
目标网段:10.66.66.0/24
对端VPC:
地域:华北2(北京)
VPC:vpc-2zey3h1i556yn5orn****-BJ-VPC2
防火墙IP/网卡:10.66.66.92-eni-2zeau3rre2q3llavidw0
路由表:vtb-2zeo25****
目标网段:10.33.33.0/24
入侵防御
云防火墙内置了威胁检测引擎实现入侵防御(IPS)的功能,可针对互联网侧的南北向流量和VPC边界的东西向流量实时拦截网络入侵行为。选择要开启的入侵防御策略,可选项:
IPS防御模式
观察模式:开启观察模式后,对恶意流量进行监控并告警。
拦截模式:开启拦截模式后,对恶意流量进行拦截,阻断入侵活动。
IPS防御能力
基础规则:开启基础规则后,为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。
虚拟补丁:开启虚拟补丁后,实时防御热门的高危应用漏洞。
IPS防御模式:拦截模式。
IPS防御能力:基础规则和虚拟补丁。
开启VPC防火墙开关
开启防火墙开关后,则在创建VPC边界防火墙后,自动开启VPC边界防火墙开关。默认是关闭状态。
开启防火墙开关
在高速通道页签,定位到VPC实例为BJ-VPC3和对端VPC实例为BJ-VPC4的数据,单击右侧操作列的创建。
在创建VPC边界防火墙对话框,配置如下信息。然后单击提交。
配置项
说明
示例
实例名
定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您使用具有业务意义的名称,并保证名称的唯一性。
统一账号管理test02
对等互通方式
确认互通方式。对等互通方式指VPC之间或VPC与本地数据中心之间的通信方式,此处固定为高速通道,无需您手动设置。
高速通道
确认VPC的相关信息
确认VPC地域和VPC实例,选择要防护的路由表,并填写目标网段。
路由表
创建VPC时,系统会为您自动创建一张默认的路由表,用于为专有网络添加系统路由来管理专有网络的流量。VPC支持按需创建多个路由表。详细内容,请参见路由表概述。
在云防火墙控制台创建VPC边界防火墙时,云防火墙自动读取您的VPC路由表信息。高速通道支持多个路由表,因此您在高速通道下创建VPC边界防火墙时可看到多个路由表,并可以选择需要防护的VPC路由表。
目标网段
在路由表下拉列表中选中某个路由时,目标网段会自动展示该路由表的默认目标网段。如果您需要防护其它网段,可手动修改目标网段。支持添加多个网段,多个网段间用半角逗号(,)隔开。
本端VPC:
地域:华北2(北京)
VPC ID:vpc-2ze9epancaw8t4sha****-VPC3-ECS3
防火墙IP/网卡:10.10.10.46-eni-2ze0if806m1f08w5****
路由表:vtb-2zekhldj6y24xm6vi****
目标网段:10.10.11.0/24
对端VPC:
地域:华北2(北京)
VPC:vpc-2ze3rb2rf1rqo3peo****-BJ-VPC4
防火墙IP/网卡:10.10.11.116-eni-2ze24sw34yq9n8ae****
路由表:vtb-2zestg1kxe9it54yu****
目标网段:10.10.10.0/24
入侵防御
云防火墙内置了威胁检测引擎实现入侵防御(IPS)的功能,可针对互联网侧的南北向流量和VPC边界的东西向流量实时拦截网络入侵行为。选择要开启的入侵防御策略,可选项:
IPS防御模式
观察模式:开启观察模式后,对恶意流量进行监控并告警。
拦截模式:开启拦截模式后,对恶意流量进行拦截,阻断入侵活动。
IPS防御能力
基础规则:开启基础规则后,为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。
虚拟补丁:开启虚拟补丁后,实时防御热门的高危应用漏洞。
IPS防御模式:拦截模式。
IPS防御能力:基础规则和虚拟补丁。
开启VPC防火墙开关
开启防火墙开关后,则在创建VPC边界防火墙后,自动开启VPC边界防火墙开关。默认是关闭状态。
开启防火墙开关
步骤五:配置访问控制策略
VPC边界防火墙可用于检测两个VPC间的通信流量,如果您只配置了VPC边界防火墙,此时两个VPC间的所有流量均为放行状态。您可以设置VPC边界防火墙的访问控制策略,精细化管理VPC下的资产。本示例中,您需要实现阿里云账号A的BJ-VPC1-ECS1不能访问BJ-VPC2-ECS2。
使用阿里云账号A登录云防火墙控制台。
在左侧导航栏,选择。
在VPC边界页面,单击创建策略。
在新增VPC边界防火墙策略对话框,配置如下信息。
配置项
说明
拦截策略示例值
源类型
访问源地址的类型。可选值:
IP地址:访问源地址类型为IP地址,需手动输入IP地址段。
地址簿:访问源地址类型为地址簿,需从预先设置的地址簿列表中选择一个地址簿。
说明您可以将多个IP设置成一个地址簿,方便您在配置访问控制规则时简化规则。
IP
访问源
发送流量的源地址。
选择IP作为源类型时,该源地址一定要设置成网段。
说明访问源只支持配置一个网段。
选择地址簿作为源类型时,需要从地址簿列表中选择一个地址簿作为访问源。
说明您一次只能选择一个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
10.33.33.17/32
目的类型
您可以选择以下目的地址类型:
IP地址
地址簿
域名
支持设置为泛域名,例如:*.aliyun.com。
IP
目的
设置接收流量的目的地址。
选择IP作为目的类型时,该目的地址一定要设置成网段。
说明目的地址只支持配置一个网段。
选择地址簿作为目的类型时,您可单击指定地址簿操作栏的选择按钮,选择该IP地址簿作为目的地址。
说明您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
选择域名作为目的类型时,可以配置为域名或泛域名,例如:*.aliyun.com。
10.66.66.94/32
协议类型
您可选择以下协议:
ANY(任何协议)
TCP协议
UDP协议
ICMP协议
TCP
端口类型
您可以选择以下端口类型:
端口:只支持设置单个端口。
地址簿:是指您预先配置的端口地址簿,是多个端口的组合,便于您在策略配置时对多个端口进行限制。
端口
端口
设置需要放开或限制的端口。可根据端口类型的配置项,手动输入单个端口,或者单击选择,从地址簿中选择预先配置的端口地址簿。
说明您1次只能选择1个地址簿,如果需要使用多个地址簿,您可以通过新增策略来添加。
协议选择为ICMP,目的端口配置不生效。协议选择为ANY,对于ICMP流量做访问控制,目的端口配置不生效。
80
应用
当前支持应用:ANY、HTTP、HTTPS、Memcache、MongoDB、MQTT、MySQL、RDP、Redis、SMTP、SMTPS、SSH和VNC。
协议选择TCP时,支持配置不同的应用类型;如选择其他类型协议,应用类型只能设置为ANY。
说明识别应用依赖应用报文的特征(协议识别不依据端口);应用识别失败时,该会话流量会被放行。
ANY
动作
允许或拒绝该流量通过VPC边界防火墙。支持选择以下动作:
放行:表示放行可信流量,允许其访问。
说明VPC边界防火墙默认对所有地址放行。
拒绝:表示阻断可疑或恶意流量,拒绝其访问。并且不会提供任何形式的通知信息。
观察:设置为观察模式后仍允许源到目的访问。观察一段时间后可根据需要调整为放行或拒绝。
拦截
描述
对访问控制策略进行描述或备注。输入该策略的备注内容,便于您后续查看时能快速区分每条策略的目的。
统一账号管理拦截策略
优先级
设置访问控制策略的优先级。默认优先级为最后。支持选择以下优先级:
最后:指访问控制策略生效的顺序最低,最后生效。
最前:指访问控制策略生效的顺序最高,最先生效。
说明云防火墙策略优先级修改后,该策略原优先级之后的策略优先级都将相应依次递减。
最后
单击确认。
步骤六:查看流量日志和入侵防御信息
当您的资产进行访问时,可以通过云防火墙VPC互访功能查看VPC专有网络之间的流量信息,帮助您实时获取VPC网络流量信息,及时发现和排查异常流量,从而更快地发现和检测出攻击。具体操作,请参见VPC互访。您也可以查看VPC之间的流量日志和入侵防御信息,确保您配置的正确性,并根据查询结果,排查是否存在异常流量。如果存在异常流量,即不符合您的业务需求,可以设置其他访问控制策略或者防护配置信息。
查看VPC之间的流量日志
使用阿里云账号A登录云防火墙控制台。
在左侧导航栏,选择
在日志审计页面,单击流量日志,再单击VPC边界。
在VPC边界页签,查询阿里云账号A和阿里云账号B部署的VPC之间的流量。
查询BJ-VPC2-ECS2成功访问BJ-VPC1-ECS1的流量日志:设置源IP为BJ-VPC2-ECS2的IP(10.66.66.94),目的IP为BJ-VPC1-ECS1的IP(10.33.33.17)。
BJ-VPC2-ECS2成功访问BJ-VPC1-ECS1,表示已经成功将阿里云账号A部署的两个VPC的流量引流到云防火墙。
查询BJ-VPC3-ECS3成功访问BJ-VPC4-ECS4的流量日志:设置源IP为BJ-VPC3-ECS3的IP(10.10.10.44),目的IP为BJ-VPC4-ECS4的IP(10.10.11.115)。
BJ-VPC3-ECS3成功访问BJ-VPC4-ECS4,表示已经成功将阿里云账号B部署的两个VPC的流量引流到云防火墙。
在VPC边界页签,设置源IP为BJ-VPC1-ECS1的IP(10.33.33.17),目的IP为BJ-VPC2-ECS2的IP(10.66.66.94),查询BJ-VPC2-ECS2拦截BJ-VPC1-ECS1的访问流量日志。
BJ-VPC2-ECS2拦截BJ-VPC1-ECS1的流量日志,表示您配置的访问控制策略已生效,已成功拦截阿里云账号A的BJ-VPC1-ECS1访问BJ-VPC2-ECS2的流量,实现安全隔离企业的资产。
查看VPC防护的入侵防御信息
使用阿里云账号A登录云防火墙控制台。
在左侧导航栏,选择。
互联网防护VPC防护
在入侵防御页面的VPC防护页签,设置查询条件,查询入侵防御的信息。
查询到ECS的入侵防御事件,表示云防火墙可以及时检测阿里云账号A部署的BJ-VPC1-ECS1和BJ-VPC2-ECS2不安全的通信,防止企业的资产被入侵。
说明因为已经配置了BJ-VPC1-ECS1到BJ-VPC2-ECS2的拒绝策略,BJ-VPC1-ECS1到BJ-VPC2-ECS2的流量命中了访问控制策略,此时,BJ-VPC1-ECS1到BJ-VPC2-ECS2的流量就不会在入侵防御中显示。
单击操作列详情,在基本信息面板,查看目标攻击事件的详细信息。