云防火墙可以统一管理ECS实例之间(东西向)、互联网和ECS实例之间(南北向)的流量。本文介绍如何配置主机边界防火墙并查看业务关系。

前提条件

  • 已注册阿里云账号。如还未注册,请先完成账号注册
  • 在使用主机边界防火墙前,您需要授权云防火墙访问云资源。具体操作,请参见授权云防火墙访问云资源
  • 在使用主机边界防火墙前,您需要确保云防火墙为企业版或旗舰版。具体操作,请参见云防火墙计费方式

背景信息

云防火墙提供防火墙一键开关、入侵检测、主动外联阻断、流量分析、日志等功能,包括主机边界防火墙、互联网边界防火墙和VPC边界防火墙。更多云防火墙概念介绍,请参见云防火墙云防火墙词汇表

主机边界防火墙作用于东西向流量,底层使用了ECS安全组的能力。您可以在云防火墙控制台为主机边界防火墙设置内对内策略组,也可以在ECS控制台的安全组中设置规则,来控制东西向(即,ECS实例之间)的访问。云防火墙和ECS安全组的配置自动保持同步。您还可以设置应用组,直观查看ECS实例间的访问关系,从而根据访问情况优化内对内策略。

互联网边界防火墙作用于南北向流量,在互联网和ECS实例间进行访问控制。您可以按需设置外对内和内对外策略,在入侵防御的基础上进行策略加固,请参见网络流量活动概览访问控制策略概览

以下场景建议您使用云防火墙:
  • 基于域名的访问控制。
  • 基于应用的访问控制。
  • 对失陷主机的主动外联进行自动阻断。
  • 因等保需求,需要近6个月的访问日志。

配置主机边界防火墙

在云防火墙控制台发布策略组后,数据立即同步到安全组,但是在ECS控制台配置安全组后,数据每天在固定时间同步到策略组,次日在策略组生效。购买企业版或旗舰版云防火墙后,您可以在云防火墙控制台统一维护东西向的访问控制策略。

完成以下操作,配置主机边界防火墙:

  1. 登录云防火墙控制台
  2. 在左侧导航栏,单击访问控制
  3. 单击主机边界防火墙
    • 策略组来源表示了策略组的来源。
    • 自定义表示在云防火墙中创建。
    • 同步安全组表示同步自ECS安全组。
    • 同步应用组表示同步自应用组。
  4. 单击新增策略组
  5. 配置策略组类型策略组名称所属VPC实例ID描述模板,然后单击提交
    说明 配置 所属VPC后,地域也确定为VPC所属的地域,例如 华东1(杭州)
  6. 可选:在策略组操作列下单击配置策略,按照业务需求新建策略。
  7. 在策略组操作列下单击发布,发布成功后即同步到ECS安全组。按照以下步骤查看同步效果:
    1. 登录ECS管理控制台
    2. 选择策略组所在地域,例如华东1(杭州)
    3. 在左侧导航栏,单击网络与安全 > 安全组
    4. 搜索维度选择安全组名称,在文本框中输入策略组名称,然后单击搜索,出现同名安全组即表示同步成功。

主机边界防火墙配置完成后,即开始控制ECS实例间的访问。在云防火墙中,您还可以设置应用组,可视化呈现业务关系。

查看业务关系

在云防火墙中,业务区是东西向业务中构成用户某个业务的各个应用组的集合,例如门户网站业务区可能包含Web应用组、DB应用组等。应用组是东西向业务中提供的相同/相似服务的应用集合,例如所有部署了MySQL的ECS实例归属到同一个DB应用组,部署了Apache服务的ECS实例归属到同一个Web应用组。

完成以下操作,查看当前ECS实例之间的关系:

  1. 登录云防火墙控制台
  2. 在左侧导航栏,单击业务可视 > 自定义分组
  3. 创建业务区。
    1. 单击业务区
    2. 单击新建业务区
    3. 完成业务区配置,然后单击确定
      业务区配置项如下表所示。
      配置项 示例
      名称 DB业务、Web业务
      备注
      程度 非常重要
  4. 创建应用组。
    1. 单击应用组
    2. 单击新建应用组
    3. 完成应用组配置,然后单击确定
      应用组配置项如下表所示。
      配置项 示例
      名称 DB应用组、Web应用组
      备注
      程度 非常重要
      业务区 选择已有业务区
      名称 DB业务、Web业务
  5. 分配应用。
    1. 选择VPC,例如华东 1 - vpc-xxx。
    2. 根据业务需要分配应用,例如将部署了MySQL的ECS实例分配至DB应用组,将部署了Apache服务的ECS实例分配至Web应用组。
  6. 在左侧导航栏,单击业务关系
  7. 选择VPC,例如华东 1 - vpc-xxx,即可查看不同业务区的访问关系。您也可以进入应用组和应用层级查看访问关系。
    查看业务区的访问关系