背景信息
云下一代防火墙作为云计算环境的边界网络安全,符合等级保护要求条例中边界安全访问控制要求项,能够实现内外网访问控制隔离等要求。
前期准备
用户需整理按业务需求整理好业务内外访问控制需求,整理点包含但不限于以下内容:
- 访问互联网业务的云主机信息,内网IP地址;
- 访问互联网业务是否存在限制,是否需要记录上网行为审计;
- 对外发布业务云主机信息,内网IP及对应公网IP;
- 对外发布业务云主机的业务端口信息,使用协议,域名信息等;
- 对外业务或端口是否需要限制源地址访问,例如运维端口仅放行运维人员访问;
配置操作
云计算边界扩展要求针对云·边界安全有如下要求,要求边界安全能够实现访问控制、恶意代码防范、入侵防范等能力,以下配置流程可实现以上边界安全需求。
配置流程说明:
| 序号 | 子流程 | 配置内容 |
|---|---|---|
| 1 | 梳理业务映射关系 | (1) 访问互联网业务的云主机信息,内网IP地址,详情参考《云墙上线信息收集表》 (2) 访问互联网业务是否存在限制,是否需要记录上网行为审计; (3) 对外发布业务云主机信息,内网IP及对应公网IP; (4) 对外发布业务云主机的业务端口信息,使用协议,域名信息等; (5) 对外业务或端口是否需要限制源地址访问,例如运维端口仅放行运维人员访问; (6) 是否有WAF/CDN业务访问,提供源站白名单 |
| 2 | 配置网络接口 | 按照平台已添加的网卡进行网卡接口配置登录云墙【网络】-【接口】-【接口配置】,详细配置参考配置网络接口属性 |
| 3 | 配置基础准备环境 | 按需配置对象薄、地址薄等信息登录云墙,【对象】-【服务薄】/【地址薄】,详细配置参考配置服务对象薄 |
| 4 | 配置出向NAT策略 | 确认需要访问互联网的云主机,进行snat配置【策略】-【NAT】-【源NAT】,详细配置参考配置出站NAT策略 |
| 5 | 配置入向NAT策略 | 确认需要访问互联网的云主机,进行snat配置【策略】-【NAT】-【目的NAT】,详细配置参考配置入站NAT策略 |
| 6 | 配置安全策略 | 确认需要进行过滤的访问对象,进行安全策略配置【策略】-【安全策略】-【新建】,详细配置参考配置安全策略 |
| 7 | 配置出向路由和平台路由 | 确认内网访问互联网的出接口地址,配置出向路由【网络】-【路由】-【源路由】,详细配置参考配置出站路由和配置平台默认路由 |
| 8 | 配置业务割接 | 将弹性IP从云主机上解绑至云墙网卡即可。 |
配置内容
提前准备好对应内网服务器的端口服务薄及地址薄等相关对象信息。
1.服务薄相关配置
登录云墙控制台,进入【对象】-【服务薄】-【服务】,可直接引用内置或新建;
2.地址薄准备
登录云墙控制台,进入【对象】-【地址薄】-【新建地址薄】,输入名称和地址信息即可。
3.配置源/目的NAT策略配置
放行策略配置完成,需针对业务进行访问控制隔离配置,首先配置出站SNAT策略。
打开菜单栏,【策略-NAT-源NAT】,新建策略
打开菜单栏,【策略-NAT-目的NAT】,新建策略
4.配置安全策略
出入向地址转换策略配置完成后,需针对流量进行安全检测,该功能由安全策略实现。
打开菜单栏,【策略-安全策略-策略-新建策略】
5.配置出向路由和平台默认路由
登录云防火墙:【网络-路由-源路由】
登录云平台
打开云平台控制台,虚拟私有云-VPC-路由表-新建,下一跳地址输入云下一代防火墙网卡地址即可。
工信部ICP备案号:湘ICP备2022009064号-1
湘公网安备 43019002001723号
统一社会信用代码:91430100MA7AWBEL41
《增值电信业务经营许可证》B1-20160477