关于云防火墙

在SDN网络一节有提到企业云提供了公有网络和SDN网络两种组网方式,公有网络是一个由云计算系统维护的全局网络,是缺省存在的,新建的公有云服务器会被自动部署在公有网络中。接入公共网络的云服务器必然存在着安全风险,云防火墙的存在就是必不可少的。

为了加强位于公有网络中的云服务器的安全性,可以在云服务器之前放置一个防火墙 (Security Group)。云计算为每个用户新建了一个缺省防火墙,当然,您也可以新建任意多的防火墙。 初始状态下,缺省防火墙开放了 TCP下行22、3389、80端口和 ICMP for ping, 其他防火墙都不包含任何规则,即全部端口都是封闭的。您可以任意调整规则以满足您的安全需求。云防火墙可以应用到云服务器和云负载均衡器。

缺省防火墙默认下行规则:

名称 优先级 协议 源IP 端口 行为
ping 1 icmp 8~0 允许
mstsc 2 tcp 3389 允许
ssh 3 tcp 22 允许
http 4 tcp 80 允许
基础规则 默认 Any any any 拒绝

缺省防火墙默认上行规则:

名称 优先级 协议 源IP 端口 行为
基础规则 默认 Any any any 允许

云防火墙示意图:

云防火墙

NOTE:公有网络中的云服务器一旦应用了云防火墙,则该云服务器无论是与Internet通信还是与公有网络中云服务器进行通信,流量都会经过云防火墙过滤。

NOTE:为防止恶意使用,保证云平台的资源协调,默认每个用户最多可配置10个云防火墙,如果因业务需求需要新建更多防火墙,需要提单申请需要的资源上限。

新建云防火墙

当用户环境中有多台提供不同服务的云服务器时,可能会需要设置不同的防火墙策略,单单一个默认防火墙已经不能满足需求,可以新建新的防火墙。

1. 点击左边栏“云防火墙”,点击“新建”,弹出”新建云防火墙”子窗口。

云防火墙

2. 输入要新建的云防火墙名称,选择允许访问的协议,确定后点击“提交”完成防火墙新建。

云防火墙

3. 新建成功后在“云防火墙”主页面可以看到新新建的云防火墙。

云防火墙

管理云防火墙策略

防火墙是通过策略来实现对云设备的保护的,通过对策略的管理实现对云设备的访问控制,按照被访问对象的
不同又将策略分为上行策略和下行策略。

云防火墙术语表:
关键术语 术语解释
上行规则 受保护云服务器访问公有网络上其他网元需要遵守的规则。
下行规则 公有网络中其他网元访问受保护云服务器需要遵守的规则。
优先级 优先级越小则优先级越高,多条规则间存在部分重合或冲突时高优先级规则生效。
协议 规则针对的网络协议类型。
端口 规则针对的端口范围,由起始端口和结束端口定义端口的范围。
1. 新建防火墙策略

1.1 在“云防火墙”主页面点击要添加策略的ID / 名称。

云防火墙

1.2 点击"下行规则"或"上行规则",点击“新建”,弹出“创建云防火墙规则”子窗口。

云防火墙

1.3 输入规则名称、优先级、策略方向、策略行为、协议、起始端口、结束端口和源IP,完成后点击“提交”。

云防火墙

NOTE:端口和源IP地址没有指定时表示任意端口和任意源IP地址。

1.4 在“上行规则”或“下行规则”标签页中可以看到新添加的规则,点击“应用修改”,让新添加的规则应用到当前云防火墙,使之生效。

云防火墙
2. 禁用防火墙策略

2.1 在“云防火墙”主页面点击要禁用策略的ID / 名称。

云防火墙

2.2 举例禁止其他网络设备ping云服务器,选择“规则”页签,选择“下行规则”页签,点击允许ping规则的“禁用”选项。

云防火墙

2.3 修改的规则行可操作项由“停用”变为“启用”,点击“应用修改”,将禁用规则的操作应用到当前云防火墙,使之生效。

云防火墙
3. 修改防火墙策略

3.1 在“云防火墙”主页面点击要修改策略的ID / 名称。

云防火墙

3.2 选择“规则”页签,按照要修改的策略选择“上行规则”或“下行规则”,此处以修改下行http规则端口为例,选择“下行规则”,勾选http规则,点击“修改”。

云防火墙

3.3 在弹出的“云防火墙规则修改”子窗口中,可以对规则的各个参数进行修改,此处将规则端口由80修改为8080,然后点击“提交”。

云防火墙

3.4 规则内容被修改后,需要点击“应用修改”将修改的规则应用到当前云防火墙,使之生效。

云防火墙
4. 删除防火墙策略

4.1 在“云防火墙”主页面点击要删除策略的ID / 名称。

云防火墙

4.2 选择“规则”页签,按照要删除策略类型选择“上行规则”或“下行规则”,选中要删除的规则,然后点击“删除”,在弹出的子窗口中点击“提交”。

云防火墙

4.3 删除规则后点击“应用修改”,将规则删除操作应用到当前云防火墙,使之生效。

云防火墙

管理云防火墙

1. 防火墙连接云服务器

防火墙应用到云服务器后,云服务器才能处于防火墙的保护中。

1.1 在“云防火墙”主页面中选中防火墙,点击“应用至云服务器”。

云防火墙

1.2 在弹出的“云防火墙应用”子窗口中选择要应用到的云服务器,然后点击“提交”。

云防火墙

1.3 连接云服务器后,在主页面可以看到当前防火墙应用到的云服务器。

云防火墙

NOTE:云服务器或云负载均衡器在同一时刻只能应用到一个云防火墙。如上面的操作,MyFirstCloudServer原来在默认防火墙的保护下,连接到MyFirstFW后自动与默认防火墙断开连接。

2. 防火墙连接云负载均衡器

云负载均衡器在新建时可以选择连接的防火墙,新建完成后也可以选择防火墙。

2.1 在“云防火墙”主页面中选中防火墙,点击“应用至云负载均衡器”。

云防火墙

2.2 在弹出的“云防火墙应用”子窗口中选择要应用到的云服务器,然后点击“提交”。

云防火墙

NOTE:云服务器或云负载均衡器在同一时刻只能应用到一个云防火墙。如上面的操作,MyFirstLB原来在默认防火墙的保护下,连接到MyFirstFW后自动与默认防火墙断开连接。

温馨提示

反馈会在1个工作日内与您联系(工作时间:周一至周五,9:00-17:30)。紧急问题建议您拨打400-720-7200或提交工单,谢谢!