通过云防火墙统一管理企业用户

背景信息

随着企业上云的进一步深入，越来越多的企业业务迁移至云端，企业购买的云资源迅速增多，资源、项目、人员、权限管理变得极其复杂，单账号负载过重已无力支撑，多账号上云模式逐渐成为多业务上云的重要选择。企业用户对于跨账号的云资源具有集中化管理需求，主要体现在安全、审计合规、网络、运维等产品。

基于以上需求，云防火墙支持通过阿里云资源管理的可信服务功能，将多个阿里云账号汇总到一个资源目录（其中每个阿里云账号表示一个成员账号），并委派特定的成员作为管理员，使其可以访问资源目录下所有成员账号包含的资源，实现多个阿里云账号的公网资产和VPC资产统一引流保护、策略配置、流量分析、入侵防护、攻击防护、失陷感知、日志审计分析。

场景示例

• 网络部署

  某企业阿里云账号A在华北2（北京）地域部署了BJ-VPC1、BJ-VPC2两个VPC实例，BJ-VPC1下部署了1台BJ-VPC1-ECS1实例，BJ-VPC2下部署了1台BJ-VPC2-ECS2实例；阿里云账号B在华北2（北京）地域部署了BJ-VPC3、BJ-VPC4两个VPC实例，BJ-VPC3下部署了1台BJ-VPC3-ECS3实例，BJ-VPC4下部署了1台BJ-VPC4-ECS4实例。并且使用VPC对等连接功能实现了BJ-VPC1和BJ-VPC2，BJ-VPC3和BJ-VPC4的流量互通。

• 需求及方案

  该企业现在需要只在阿里云账号A开通云防火墙的情况下，检测BJ-VPC1和BJ-VPC2之间的流量、BJ-VPC3和BJ-VPC4之间的流量，并保障VPC之间流量互访安全，且满足BJ-VPC1-ECS1不能访问BJ-VPC2-ECS2。基于上述诉求，该企业可以使用云防火墙统一账号管理、VPC边界防火墙、访问控制功能实现业务需求。

场景示意如下：

前提条件

• 已为企业管理员账号开通资源目录。具体操作，请参见开通资源目录。

• 已为阿里云账号A开通云防火墙高级版、企业版和旗舰版。详细信息，请参见包年包月。

  说明

  如需添加更多成员账号，您需要升级云防火墙规格，扩充多账号管控数。

• 已为阿里云账号A、阿里云账号B分别部署了2个相同地域的专有网络VPC。具体操作，请参见创建和管理专有网络。

• 已为阿里云账号A、阿里云账号B部署的VPC分别购买了两台ECS实例。具体操作，请参见创建云资源。

• 已为阿里云账号A、阿里云账号B下的VPC分别建立VPC对等连接。具体操作，请参见创建和管理VPC对等连接。

配置流程

步骤一：邀请资源目录的成员

企业管理账号可以邀请资源目录以外的阿里云账号加入到资源目录，作为资源目录的成员，实现资源的统一管理。

1. 使用企业管理员账号登录资源管理控制台。

2. 在左侧导航栏，选择资源目录 > 邀请成员。
3. 单击邀请成员。

4. 在邀请成员面板，填写邀请的账号UID/账号登录邮箱为阿里云账号A的ID（135809047715****）和阿里云账号B的ID（166032244439****），确认并勾选风险提示。

   说明

   此处邮箱是注册账号时的登录邮箱，而非注册账号后绑定的备用邮箱。您可以一次性输入多个阿里云账号实现批量邀请，使用半角逗号（,）分隔。

5. 单击确定。

步骤二：为资源目录添加委派管理员

通过委派管理员账号，可以将组织管理任务与业务管理任务相分离，企业管理账号执行资源目录的组织管理任务，委派管理员账号执行可信服务的业务管理任务。本文示例中，委派管理员账号即阿里云账号A。

1. 使用企业管理员账号登录资源管理控制台。

2. 在左侧导航栏，选择资源目录 > 可信服务。
3. 在可信服务页面，单击目标可信服务操作列的管理。
4. 在委派管理员账号区域，单击添加。

5. 在委派管理员账号面板，选中阿里云账号A的ID（135809047715****）。

6. 单击确定。
   添加成功后，使用该委派管理员账号访问对应可信服务的多账号管理模块，即可进行资源目录组织范围内的管理操作。

步骤三：添加云防火墙成员账号

云防火墙支持通过阿里云资源管理的可信服务功能，将多个阿里云账号汇总到一个资源目录（其中每个阿里云账号表示一个成员账号），实现资源目录下所有成员账号之间共享资源。

1. 使用阿里云账号A登录云防火墙控制台。

2. 在左侧导航栏，选择设置 > 多账号统一管理。

3. 在多账号统一管理页面，单击添加成员账号。

4. 在添加成员账号对话框，将阿里云账号B的ID（166032244439****）添加到右侧已选导入云防火墙成员账号列表。

5. 在右侧已选导入云防火墙成员账号列表，选择阿里云账号B的ID（166032244439****），单击确定。

   此时，阿里云账号A（135809047715****）成功添加阿里云账号B（166032244439****）为它的成员账号。

步骤四：创建VPC边界防火墙

当两个VPC已建立VPC对等连接，可以通过创建VPC边界防火墙，帮助您检测两个VPC间的通信流量。

1. 使用阿里云账号A登录云防火墙控制台。在左侧导航栏，单击防火墙开关。

2. 在防火墙开关页面，单击VPC边界防火墙。

3. 在高速通道页签，定位到VPC实例为BJ-VPC1和对端VPC实例为BJ-VPC2的数据，单击右侧操作列的创建。

   云防火墙每隔半小时会为您自动同步一次资源。如果您刚创建好资源，需耐心等待半个小时。

4. 在创建VPC边界防火墙对话框，配置如下信息。然后单击提交。

   配置项	说明	示例
   实例名	定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例，建议您使用具有业务意义的名称，并保证名称的唯一性。	统一账号管理test
   对等互通方式	确认互通方式。对等互通方式指VPC之间或VPC与本地数据中心之间的通信方式，此处固定为高速通道，无需您手动设置。	高速通道
   确认VPC的相关信息	确认VPC地域和VPC实例，选择要防护的路由表，并填写目标网段。 路由表 创建VPC时，系统会为您自动创建一张默认的路由表，用于为专有网络添加系统路由来管理专有网络的流量。VPC支持按需创建多个路由表。详细内容，请参见路由表概述。 在云防火墙控制台创建VPC边界防火墙时，云防火墙自动读取您的VPC路由表信息。高速通道支持多个路由表，因此您在高速通道下创建VPC边界防火墙时可看到多个路由表，并可以选择需要防护的VPC路由表。 目标网段 在路由表下拉列表中选中某个路由时，目标网段会自动展示该路由表的默认目标网段。如果您需要防护其它网段，可手动修改目标网段。支持添加多个网段，多个网段间用半角逗号（,）隔开。	本端VPC： 地域：华北2（北京） VPC：vpc-2zekde0udtz2s1hn9****-BJ-VPC1 防火墙IP/网卡：10.33.33.15-eni-2zeau3rre2q3llavidw0 路由表：vtb-2zeo25fbkcvc2lx7j**** 目标网段：10.66.66.0/24 对端VPC： 地域：华北2（北京） VPC：vpc-2zey3h1i556yn5orn****-BJ-VPC2 防火墙IP/网卡：10.66.66.92-eni-2zeau3rre2q3llavidw0 路由表：vtb-2zeo25**** 目标网段：10.33.33.0/24
   入侵防御	云防火墙内置了威胁检测引擎实现入侵防御（IPS）的功能，可针对互联网侧的南北向流量和VPC边界的东西向流量实时拦截网络入侵行为。选择要开启的入侵防御策略，可选项： IPS防御模式 观察模式：开启观察模式后，对恶意流量进行监控并告警。 拦截模式：开启拦截模式后，对恶意流量进行拦截，阻断入侵活动。 IPS防御能力 基础规则：开启基础规则后，为您的资产提供基础的防护能力，包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C（命令控制）的行为进行管控。 虚拟补丁：开启虚拟补丁后，实时防御热门的高危应用漏洞。	IPS防御模式：拦截模式。 IPS防御能力：基础规则和虚拟补丁。
   开启VPC防火墙开关	开启防火墙开关后，则在创建VPC边界防火墙后，自动开启VPC边界防火墙开关。默认是关闭状态。	开启防火墙开关

5. 在高速通道页签，定位到VPC实例为BJ-VPC3和对端VPC实例为BJ-VPC4的数据，单击右侧操作列的创建。

6. 在创建VPC边界防火墙对话框，配置如下信息。然后单击提交。

   配置项	说明	示例
   实例名	定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例，建议您使用具有业务意义的名称，并保证名称的唯一性。	统一账号管理test02
   对等互通方式	确认互通方式。对等互通方式指VPC之间或VPC与本地数据中心之间的通信方式，此处固定为高速通道，无需您手动设置。	高速通道
   确认VPC的相关信息	确认VPC地域和VPC实例，选择要防护的路由表，并填写目标网段。 路由表 创建VPC时，系统会为您自动创建一张默认的路由表，用于为专有网络添加系统路由来管理专有网络的流量。VPC支持按需创建多个路由表。详细内容，请参见路由表概述。 在云防火墙控制台创建VPC边界防火墙时，云防火墙自动读取您的VPC路由表信息。高速通道支持多个路由表，因此您在高速通道下创建VPC边界防火墙时可看到多个路由表，并可以选择需要防护的VPC路由表。 目标网段 在路由表下拉列表中选中某个路由时，目标网段会自动展示该路由表的默认目标网段。如果您需要防护其它网段，可手动修改目标网段。支持添加多个网段，多个网段间用半角逗号（,）隔开。	本端VPC： 地域：华北2（北京） VPC ID：vpc-2ze9epancaw8t4sha****-VPC3-ECS3 防火墙IP/网卡：10.10.10.46-eni-2ze0if806m1f08w5**** 路由表：vtb-2zekhldj6y24xm6vi**** 目标网段：10.10.11.0/24 对端VPC： 地域：华北2（北京） VPC：vpc-2ze3rb2rf1rqo3peo****-BJ-VPC4 防火墙IP/网卡：10.10.11.116-eni-2ze24sw34yq9n8ae**** 路由表：vtb-2zestg1kxe9it54yu**** 目标网段：10.10.10.0/24
   入侵防御	云防火墙内置了威胁检测引擎实现入侵防御（IPS）的功能，可针对互联网侧的南北向流量和VPC边界的东西向流量实时拦截网络入侵行为。选择要开启的入侵防御策略，可选项： IPS防御模式 观察模式：开启观察模式后，对恶意流量进行监控并告警。 拦截模式：开启拦截模式后，对恶意流量进行拦截，阻断入侵活动。 IPS防御能力 基础规则：开启基础规则后，为您的资产提供基础的防护能力，包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C（命令控制）的行为进行管控。 虚拟补丁：开启虚拟补丁后，实时防御热门的高危应用漏洞。	IPS防御模式：拦截模式。 IPS防御能力：基础规则和虚拟补丁。
   开启VPC防火墙开关	开启防火墙开关后，则在创建VPC边界防火墙后，自动开启VPC边界防火墙开关。默认是关闭状态。	开启防火墙开关

   

步骤五：配置访问控制策略

VPC边界防火墙可用于检测两个VPC间的通信流量，如果您只配置了VPC边界防火墙，此时两个VPC间的所有流量均为放行状态。您可以设置VPC边界防火墙的访问控制策略，精细化管理VPC下的资产。本示例中，您需要实现阿里云账号A的BJ-VPC1-ECS1不能访问BJ-VPC2-ECS2。

1. 使用阿里云账号A登录云防火墙控制台。

2. 在左侧导航栏，选择访问控制 > VPC边界。

3. 在VPC边界页面，单击创建策略。

4. 在新增VPC边界防火墙策略对话框，配置如下信息。

   配置项	说明	拦截策略示例值
   源类型	访问源地址的类型。可选值： IP地址：访问源地址类型为IP地址，需手动输入IP地址段。 地址簿：访问源地址类型为地址簿，需从预先设置的地址簿列表中选择一个地址簿。 说明 您可以将多个IP设置成一个地址簿，方便您在配置访问控制规则时简化规则。	IP
   访问源	发送流量的源地址。 选择IP作为源类型时，该源地址一定要设置成网段。 说明 访问源只支持配置一个网段。 选择地址簿作为源类型时，需要从地址簿列表中选择一个地址簿作为访问源。 说明 您一次只能选择一个地址簿，如果需要使用多个地址簿，您可以通过新增策略来添加。	10.33.33.17/32
   目的类型	您可以选择以下目的地址类型： IP地址 地址簿 域名 支持设置为泛域名，例如：*.aliyun.com。	IP
   目的	设置接收流量的目的地址。 选择IP作为目的类型时，该目的地址一定要设置成网段。 说明 目的地址只支持配置一个网段。 选择地址簿作为目的类型时，您可单击指定地址簿操作栏的选择按钮，选择该IP地址簿作为目的地址。 说明 您1次只能选择1个地址簿，如果需要使用多个地址簿，您可以通过新增策略来添加。 选择域名作为目的类型时，可以配置为域名或泛域名，例如：*.aliyun.com。	10.66.66.94/32
   协议类型	您可选择以下协议： ANY（任何协议） TCP协议 UDP协议 ICMP协议	TCP
   端口类型	您可以选择以下端口类型： 端口：只支持设置单个端口。 地址簿：是指您预先配置的端口地址簿，是多个端口的组合，便于您在策略配置时对多个端口进行限制。	端口
   端口	设置需要放开或限制的端口。可根据端口类型的配置项，手动输入单个端口，或者单击选择，从地址簿中选择预先配置的端口地址簿。 说明 您1次只能选择1个地址簿，如果需要使用多个地址簿，您可以通过新增策略来添加。 协议选择为ICMP，目的端口配置不生效。协议选择为ANY，对于ICMP流量做访问控制，目的端口配置不生效。	80
   应用	当前支持应用：ANY、HTTP、HTTPS、Memcache、MongoDB、MQTT、MySQL、RDP、Redis、SMTP、SMTPS、SSH和VNC。 协议选择TCP时，支持配置不同的应用类型；如选择其他类型协议，应用类型只能设置为ANY。 说明 识别应用依赖应用报文的特征（协议识别不依据端口）；应用识别失败时，该会话流量会被放行。	ANY
   动作	允许或拒绝该流量通过VPC边界防火墙。支持选择以下动作： 放行：表示放行可信流量，允许其访问。 说明 VPC边界防火墙默认对所有地址放行。 拒绝：表示阻断可疑或恶意流量，拒绝其访问。并且不会提供任何形式的通知信息。 观察：设置为观察模式后仍允许源到目的访问。观察一段时间后可根据需要调整为放行或拒绝。	拦截
   描述	对访问控制策略进行描述或备注。输入该策略的备注内容，便于您后续查看时能快速区分每条策略的目的。	统一账号管理拦截策略
   优先级	设置访问控制策略的优先级。默认优先级为最后。支持选择以下优先级： 最后：指访问控制策略生效的顺序最低，最后生效。 最前：指访问控制策略生效的顺序最高，最先生效。 说明 云防火墙策略优先级修改后，该策略原优先级之后的策略优先级都将相应依次递减。	最后

5. 单击确认。

   

步骤六：查看流量日志和入侵防御信息

当您的资产进行访问时，可以通过云防火墙VPC互访功能查看VPC专有网络之间的流量信息，帮助您实时获取VPC网络流量信息，及时发现和排查异常流量，从而更快地发现和检测出攻击。具体操作，请参见VPC互访。您也可以查看VPC之间的流量日志和入侵防御信息，确保您配置的正确性，并根据查询结果，排查是否存在异常流量。如果存在异常流量，即不符合您的业务需求，可以设置其他访问控制策略或者防护配置信息。

查看VPC之间的流量日志

1. 使用阿里云账号A登录云防火墙控制台。

2. 在左侧导航栏，选择日志分析 > 日志审计

3. 在日志审计页面，单击流量日志，再单击VPC边界。

4. 在VPC边界页签，查询阿里云账号A和阿里云账号B部署的VPC之间的流量。

   • 查询BJ-VPC2-ECS2成功访问BJ-VPC1-ECS1的流量日志：设置源IP为BJ-VPC2-ECS2的IP（10.66.66.94），目的IP为BJ-VPC1-ECS1的IP（10.33.33.17）。

     BJ-VPC2-ECS2成功访问BJ-VPC1-ECS1，表示已经成功将阿里云账号A部署的两个VPC的流量引流到云防火墙。

   • 查询BJ-VPC3-ECS3成功访问BJ-VPC4-ECS4的流量日志：设置源IP为BJ-VPC3-ECS3的IP（10.10.10.44），目的IP为BJ-VPC4-ECS4的IP（10.10.11.115）。

     BJ-VPC3-ECS3成功访问BJ-VPC4-ECS4，表示已经成功将阿里云账号B部署的两个VPC的流量引流到云防火墙。

5. 在VPC边界页签，设置源IP为BJ-VPC1-ECS1的IP（10.33.33.17），目的IP为BJ-VPC2-ECS2的IP（10.66.66.94），查询BJ-VPC2-ECS2拦截BJ-VPC1-ECS1的访问流量日志。

   BJ-VPC2-ECS2拦截BJ-VPC1-ECS1的流量日志，表示您配置的访问控制策略已生效，已成功拦截阿里云账号A的BJ-VPC1-ECS1访问BJ-VPC2-ECS2的流量，实现安全隔离企业的资产。

查看VPC防护的入侵防御信息

1. 使用阿里云账号A登录云防火墙控制台。

2. 在左侧导航栏，选择攻击防护 > 入侵防御。

   互联网防护VPC防护

3. 在入侵防御页面的VPC防护页签，设置查询条件，查询入侵防御的信息。

   查询到ECS的入侵防御事件，表示云防火墙可以及时检测阿里云账号A部署的BJ-VPC1-ECS1和BJ-VPC2-ECS2不安全的通信，防止企业的资产被入侵。

   说明

   因为已经配置了BJ-VPC1-ECS1到BJ-VPC2-ECS2的拒绝策略，BJ-VPC1-ECS1到BJ-VPC2-ECS2的流量命中了访问控制策略，此时，BJ-VPC1-ECS1到BJ-VPC2-ECS2的流量就不会在入侵防御中显示。

4. 单击操作列详情，在基本信息面板，查看目标攻击事件的详细信息。