通过云防火墙控制ECS实例间访问
云防火墙可以统一管理ECS实例之间(东西向)、互联网和ECS实例之间(南北向)的流量。本文介绍如何配置云防火墙并查看业务关系。
前提条件
背景信息
云防火墙提供防火墙一键开关、入侵检测、主动外联阻断、流量分析、日志等功能。包括主机边界防火墙、互联网边界防火墙和VPC边界防火墙。更多云防火墙概念介绍,请参见云防火墙和云防火墙词汇表。
主机边界防火墙作用于东西向流量,底层使用了ECS安全组的能力。您可以在云防火墙控制台为主机边界防火墙设置内对内策略组,也可以在ECS控制台的安全组中设置规则,来控制东西向(即,ECS实例之间)的访问。云防火墙和ECS安全组的配置自动保持同步。您还可以设置应用组,直观查看ECS实例间的访问关系,从而根据访问情况优化内对内策略。
互联网边界防火墙作用于南北向流量,在互联网和ECS实例间进行访问控制。您可以按需设置外对内和内对外策略,在入侵防御的基础上进行策略加固,请参见网络流量活动概览和访问控制策略概览。
- 基于域名的访问控制。
- 基于应用的访问控制。
- 对失陷主机的主动外联进行自动阻断。
- 因等保需求,需要近6个月的访问日志。
配置主机边界防火墙
在云防火墙控制台发布策略组后,数据立即同步到安全组,但是在ECS控制台配置安全组后,数据每天在固定时间同步到策略组,需要次日才能看到效果。购买企业版或旗舰版云防火墙后,您可以在云防火墙控制台统一维护东西向的访问控制策略。
完成以下操作,配置主机边界防火墙:
主机边界防火墙配置完成后,即开始控制ECS实例间的访问。在云防火墙中,您还可以设置应用组,可视化呈现业务关系。
查看业务关系
在云防火墙中,业务区是东西向业务中构成用户某个业务的各个应用组的集合,例如门户网站业务区可能包含Web应用组、DB应用组等。应用组是东西向业务中提供的相同/相似服务的应用集合,例如所有部署了MySQL的ECS实例归属到同一个DB应用组,部署了Apache服务的ECS实例归属到同一个Web应用组。
完成以下操作,查看当前ECS实例之间的关系:
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
评论