PS:近期小编配合实施了云防火墙项目,发现原来安全组可以这么自动化批量配置,实现云上安全防火墙,特别推荐腾讯云云防护墙;
支持5元组安全防护,支持自动化批量标签端口/协议策略,支持IP批量模板等等能力,支持对
1)互联网边界安全,南北向流量安全防控;
2)VPC子网间安全访问策略,支持东西向流量策略安全
3)支持实例级别的端口及协议的安全访问策略;强大的5元组信息安全防护,比3元组的安全组好太多了;更稳定便捷;
云防火墙(IPS-升级SaaS版本)-访问控制-新企业安全组 是一种全新的安全组控制平面,可以取代云服务器控制台的安全组管理界面。对安全组的配置逻辑进行了重新设计,维护了统一的访问控制管理页面,极大优化了安全组的使用体验。云防火墙提供基于五元组的规则配置界面,并通过智能转换算法自动下发安全组策略,大幅简化了安全组的配置操作。
企业安全组特点 大幅简化了安全组的配置操作,并保留五元组规则的使用习惯。 更加方便的支持 VPC 间、子网间及专线接入的访问控制。 提供安全组的访问控制日志,方便回溯阻断情况和日常排障。 无需改变网络架构,对网络稳定性没有任何影响,在网络性能方面也不产生额外的瓶颈。 企业安全组限制 企业安全组基于云服务器安全组的底层架构进行开发,所以受限于安全组的底层功能实现和资源配额。
企业安全组规则 规则的组成部分 访问源和访问目的:根据入站或出站的方向不同,可以是 IP 地址、CIDR 地址块、实例、子网或私有网络。 目的端口:目的端口号。当协议类型为 ICMP 或 ANY 时,此项无需配置。 协议类型: 目前支持 TCP、UDP 和 ICMP。ANY 代表全部已支持的协议。 策略:规则命中后,所执行的操作。放行策略,放行命中规则的流量,不记录访问控制日志。 阻断策略,拦截命中规则的流量,记录访问控制日志。 规则的优先级 安全组规则具有优先级,规则优先级通过规则在列表中的位置来表示,列表顶端规则优先级最高,列表底端规则优先级最低。
执行顺序是从高优先级向低优先级进行逐条匹配,规则命中后,则不再匹配后续规则。
入站规则和出站规则,分属不同的规则列表,优先级互不影响。
如需使用企业安全组功能,请参见 配置步骤。
自动双向下发 为了提高安全组的配置效率,企业安全组提供了“自动双向下发”功能。在内网对内网的双向阻断或放行的场景中,不再需要在两个方向配置两条一模一样的规则。使用这个功能可以自动实现这种操作,降低规则配置的工作量。
当访问源地址填写为实例、子网或私有网络地址时,可通过“自动双向下发”功能,自动配置一条相同的出站规则(执行顺序为最高)。
例如,假设有两个实例,实例1的 IP 为 IP1,实例2的 IP 为 IP2。
用户对实例1和实例2分别配置了 deny all 的安全组,此时想要对实例1到实例2的访问做单向放行,需要手动配置两条安全组规则:
实例1,出站方向对 IP2 放行。 实例2,入站方向对 IP1 放行。 使用“自动双向下发”功能,只需要手动配置其中的一条规则,另一条,由企业安全组自动生成,详情请参见 实例间单向访问的自动双向下发 进行操作。
前提条件 需已将云防火墙 升级到企业版或旗舰版 。 首次使用企业安全组,需要已进行 CAM 授权。在您开通企业安全组后,首次进入访问控制 > 企业安全组 页面或访问控制日志 > 企业安全组 页面时,请按照提示进行授权操作。说明:
日志投递功能需要对云防火墙服务角色 CFW_QcsRole,关联策略 QcloudAccessForCFWRoleIn EnterpriseSecurityGroup 、QcloudAccessForCFWRoleInLogService 权限。 开通 CLS(日志服务)。当您完成 CAM 授权后,网络流日志会投递到您的腾讯云 CLS(日志服务)中。若您尚未开通此功能,请按照控制台提示,手动开启。开启 CLS 后,即可在刷新云防火墙的访问控制日志 > 企业安全组 页面,查看相关日志内容。 操作步骤 步骤1:配额管理 企业安全组会占用您的安全组配额,您可以在企业安全组页面查看并管理相关安全组配额。
登录 云防火墙控制台 ,在左侧导航中,选择访问控制 > 企业安全组 。 在企业安全组页面的规则列表概况右上角,单击配额详情 ,可以查看安全组配额。
在安全组配额详情页面,可查看各地域的安全组配额详情,并根据需求查看各关联实例及安全组详情。
已有安全组数 :已配置的安全组个数。安全组数配额 :每个地域允许创建的安全组数上限。安全组规则数 :每个安全组允许的出站或入站规则数。安全组绑定实例数 :单个安全组关联的云服务器实例数。实例绑定安全组数 :每个实例可以关联的安全组个数。关联实例 :已关联实例列表,并可查看各实例详情。安全组列表 :已有安全组列表,并可查看各安全组详情。(可选)安全组的配额是有限的,当您完成一次添加规则、插入规则或编辑规则的操作后,若安全组配额不足,系统会提示您调整相应的安全组配额,在企业安全组页面的规则列表概况右上角,单击管理配额 ,去工单系统中申请安全的相关配额即可。
步骤2:添加规则 规则分为入站规则和出站规则,规则列表在同一时间只允许一个用户进行操作,本文将以入站规则为例进行说明(出站规则同理)。
在 企业安全组页面,左上角选择需要操作的地域。说明:
每个地域都有独立的企业安全组的入站规则列表和出站规则列表。 在企业安全组页面下方,选择入站规则 >添加规则 。 在添加入站规则的弹窗中,填写相关字段,单击确定 。规则优先级:“最先”是将新规则插入到规则列表的最前方,优先级最高。“最后”是将新规则插入到规则列表的最后,优先级最低。 访问目的类型:包括“云服务器”、“云数据库”、“弹性网卡”及“负载均衡”,并根据不同访问目的类型,填写相关字段。 自动双向下发:当访问源地址填写为实例、子网、私有网络地址时,可通过自动双向下发,分配一条相同的出站规则(执行顺序为最高),适用于内网对内网的双向放行的场景。注意: 当资产绑定唯一安全组时,安全组默认阻断全部。 若您的资产中存在没有绑定任何安全组的资产实例,下发企业安全组策略会为这些资产绑定唯一安全组,存在较高安全风险,请谨慎操作。 添加完成,该入站规则将出现在入站规则列表中。
添加完入站规则后,在私有网络控制台的 安全组页面 中,可查看企业安全组自动生成的安全组,自动配置了安全组规则和关联实例。注意:
请您不要在其他位置手动修改云防火墙维护的安全组或路由表(如 NAT 路由表、CVM 安全组等),请统一在云防火墙的控制台中进行操作。
步骤3:编辑规则 在 企业安全组页面 下方,单击入站规则 ,可对已添加的规则进行编辑、插入、删除、快速排序等操作。
编辑规则: 在目标规则右侧,单击编辑 ,即可修改规则配置,修改完成后,单击完成 即可。
停用规则 :在目标规则的状态栏,可以控制规则是否生效。若关闭开关,即停用规则,此规则不再参与规则匹配。注意:
企业安全组规则被停用后,安全组中的对应规则会被删除,但此规则依然会保留在企业安全组的规则列表中。插入规则 :在目标规则右侧,单击插入 ,可在当前规则的前方新增一条规则,优先级高于当前规则。
删除规则 :在目标规则右侧,单击删除 ,二次确认后,可以删除目标规则。注意:
删除规则后,企业安全组和安全组会同时删除此规则,且操作不可撤销。快速排序 :规则在列表中的顺序,决定了执行的优先级。在入站规则列表上方,单击快速排序 。
可以通过对规则的拖拽操作,快速完成规则优先级的调整 。
调整完成后,单击保存 ,调整后的优先级即可生效,企业安全组会自动将新的规则优先级下发到实例。 导出规则 :在规则列表的右上角,单击导出按钮,可以导出全量的入站规则或出站规则的 Excel文件。注意:
导出规则操作忽略了检索条件和规则开关状态。常见问题 企业安全组到期后,云防火墙维护的安全组会被删除吗? 不会,云防火墙到期后,不会清除私有网络控制台中安全组配置。
可以在私有网络控制台,直接修改云防火墙维护的安全组吗? 不可以。在私有网络控制台手动修改后的安全组规则,不会体现在 企业安全组页面 中,容易产生规则管理上的纰漏,影响网络安全防护,同时企业安全组的规则更新后,会同步规则到安全组,手动修改的安全组配置会被覆盖。
更多企业安全组相关问题,可参见 安全可视 文档。
企业用户免费使用: 点击申请