下一代IPS云防火墙 | 云安全组的批量自动化5元组替代安全防护产品？

PS：近期小编配合实施了云防火墙项目，发现原来安全组可以这么自动化批量配置，实现云上安全防火墙，特别推荐腾讯云云防护墙；
支持5元组安全防护，支持自动化批量标签端口/协议策略，支持IP批量模板等等能力，支持对
1）互联网边界安全，南北向流量安全防控；
2）VPC子网间安全访问策略，支持东西向流量策略安全
3）支持实例级别的端口及协议的安全访问策略；强大的5元组信息安全防护，比3元组的安全组好太多了；更稳定便捷；

云防火墙（IPS-升级SaaS版本）-访问控制-新企业安全组是一种全新的安全组控制平面，可以取代云服务器控制台的安全组管理界面。对安全组的配置逻辑进行了重新设计，维护了统一的访问控制管理页面，极大优化了安全组的使用体验。云防火墙提供基于五元组的规则配置界面，并通过智能转换算法自动下发安全组策略，大幅简化了安全组的配置操作。

企业安全组特点

• 大幅简化了安全组的配置操作，并保留五元组规则的使用习惯。
• 更加方便的支持 VPC 间、子网间及专线接入的访问控制。
• 提供安全组的访问控制日志，方便回溯阻断情况和日常排障。
• 无需改变网络架构，对网络稳定性没有任何影响，在网络性能方面也不产生额外的瓶颈。

企业安全组限制

企业安全组基于云服务器安全组的底层架构进行开发，所以受限于安全组的底层功能实现和资源配额。

企业安全组规则

规则的组成部分

• 访问源和访问目的：根据入站或出站的方向不同，可以是 IP 地址、CIDR 地址块、实例、子网或私有网络。
• 目的端口：目的端口号。当协议类型为 ICMP 或 ANY 时，此项无需配置。
• 协议类型： 目前支持 TCP、UDP 和 ICMP。ANY 代表全部已支持的协议。
• 策略：规则命中后，所执行的操作。
  • 放行策略，放行命中规则的流量，不记录访问控制日志。
  • 阻断策略，拦截命中规则的流量，记录访问控制日志。

规则的优先级

安全组规则具有优先级，规则优先级通过规则在列表中的位置来表示，列表顶端规则优先级最高，列表底端规则优先级最低。 执行顺序是从高优先级向低优先级进行逐条匹配，规则命中后，则不再匹配后续规则。 入站规则和出站规则，分属不同的规则列表，优先级互不影响。

如需使用企业安全组功能，请参见 配置步骤。

自动双向下发

为了提高安全组的配置效率，企业安全组提供了“自动双向下发”功能。在内网对内网的双向阻断或放行的场景中，不再需要在两个方向配置两条一模一样的规则。使用这个功能可以自动实现这种操作，降低规则配置的工作量。

当访问源地址填写为实例、子网或私有网络地址时，可通过“自动双向下发”功能，自动配置一条相同的出站规则（执行顺序为最高）。

例如，假设有两个实例，实例1的 IP 为 IP1，实例2的 IP 为 IP2。 用户对实例1和实例2分别配置了 deny all 的安全组，此时想要对实例1到实例2的访问做单向放行，需要手动配置两条安全组规则：

• 实例1，出站方向对 IP2 放行。
• 实例2，入站方向对 IP1 放行。

使用“自动双向下发”功能，只需要手动配置其中的一条规则，另一条，由企业安全组自动生成，详情请参见 实例间单向访问的自动双向下发 进行操作。

前提条件

• 需已将云防火墙 升级到企业版或旗舰版。
• 首次使用企业安全组，需要已进行 CAM 授权。在您开通企业安全组后，首次进入访问控制 > 企业安全组页面或访问控制日志 > 企业安全组页面时，请按照提示进行授权操作。说明： 日志投递功能需要对云防火墙服务角色 CFW_QcsRole，关联策略 QcloudAccessForCFWRoleIn EnterpriseSecurityGroup 、QcloudAccessForCFWRoleInLogService 权限。
• 开通 CLS（日志服务）。当您完成 CAM 授权后，网络流日志会投递到您的腾讯云 CLS（日志服务）中。若您尚未开通此功能，请按照控制台提示，手动开启。开启 CLS 后，即可在刷新云防火墙的访问控制日志 > 企业安全组页面，查看相关日志内容。

操作步骤

步骤1：配额管理

企业安全组会占用您的安全组配额，您可以在企业安全组页面查看并管理相关安全组配额。

1. 登录 云防火墙控制台，在左侧导航中，选择访问控制 > 企业安全组。
2. 在企业安全组页面的规则列表概况右上角，单击配额详情，可以查看安全组配额。

1. 在安全组配额详情页面，可查看各地域的安全组配额详情，并根据需求查看各关联实例及安全组详情。

• 已有安全组数：已配置的安全组个数。
• 安全组数配额：每个地域允许创建的安全组数上限。
• 安全组规则数：每个安全组允许的出站或入站规则数。
• 安全组绑定实例数：单个安全组关联的云服务器实例数。
• 实例绑定安全组数：每个实例可以关联的安全组个数。
• 关联实例：已关联实例列表，并可查看各实例详情。
• 安全组列表：已有安全组列表，并可查看各安全组详情。

1. （可选）安全组的配额是有限的，当您完成一次添加规则、插入规则或编辑规则的操作后，若安全组配额不足，系统会提示您调整相应的安全组配额，在企业安全组页面的规则列表概况右上角，单击管理配额，去工单系统中申请安全的相关配额即可。

步骤2：添加规则

规则分为入站规则和出站规则，规则列表在同一时间只允许一个用户进行操作，本文将以入站规则为例进行说明（出站规则同理）。

1. 在 企业安全组页面，左上角选择需要操作的地域。说明： 每个地域都有独立的企业安全组的入站规则列表和出站规则列表。
2. 在企业安全组页面下方，选择入站规则>添加规则。
3. 在添加入站规则的弹窗中，填写相关字段，单击确定。
   • 规则优先级：“最先”是将新规则插入到规则列表的最前方，优先级最高。“最后”是将新规则插入到规则列表的最后，优先级最低。
   • 访问目的类型：包括“云服务器”、“云数据库”、“弹性网卡”及“负载均衡”，并根据不同访问目的类型，填写相关字段。
   • 自动双向下发：当访问源地址填写为实例、子网、私有网络地址时，可通过自动双向下发，分配一条相同的出站规则（执行顺序为最高），适用于内网对内网的双向放行的场景。注意：

• 当资产绑定唯一安全组时，安全组默认阻断全部。
• 若您的资产中存在没有绑定任何安全组的资产实例，下发企业安全组策略会为这些资产绑定唯一安全组，存在较高安全风险，请谨慎操作。

1. 添加完成，该入站规则将出现在入站规则列表中。

1. 添加完入站规则后，在私有网络控制台的 安全组页面 中，可查看企业安全组自动生成的安全组，自动配置了安全组规则和关联实例。注意： 请您不要在其他位置手动修改云防火墙维护的安全组或路由表（如 NAT 路由表、CVM 安全组等），请统一在云防火墙的控制台中进行操作。

步骤3：编辑规则

在 企业安全组页面 下方，单击入站规则，可对已添加的规则进行编辑、插入、删除、快速排序等操作。

• 编辑规则：在目标规则右侧，单击编辑，即可修改规则配置，修改完成后，单击完成即可。

• 停用规则：在目标规则的状态栏，可以控制规则是否生效。若关闭开关，即停用规则，此规则不再参与规则匹配。注意： 企业安全组规则被停用后，安全组中的对应规则会被删除，但此规则依然会保留在企业安全组的规则列表中。
• 插入规则：在目标规则右侧，单击插入，可在当前规则的前方新增一条规则，优先级高于当前规则。

• 删除规则：在目标规则右侧，单击删除，二次确认后，可以删除目标规则。注意： 删除规则后，企业安全组和安全组会同时删除此规则，且操作不可撤销。
• 快速排序：
  1. 规则在列表中的顺序，决定了执行的优先级。在入站规则列表上方，单击快速排序。

  

  1. 可以通过对规则的拖拽操作，快速完成规则优先级的调整。

  

  1. 调整完成后，单击保存，调整后的优先级即可生效，企业安全组会自动将新的规则优先级下发到实例。
• 导出规则：在规则列表的右上角，单击导出按钮，可以导出全量的入站规则或出站规则的 Excel文件。注意： 导出规则操作忽略了检索条件和规则开关状态。

常见问题

企业安全组到期后，云防火墙维护的安全组会被删除吗？

不会，云防火墙到期后，不会清除私有网络控制台中安全组配置。

可以在私有网络控制台，直接修改云防火墙维护的安全组吗？

不可以。在私有网络控制台手动修改后的安全组规则，不会体现在 企业安全组页面 中，容易产生规则管理上的纰漏，影响网络安全防护，同时企业安全组的规则更新后，会同步规则到安全组，手动修改的安全组配置会被覆盖。

更多企业安全组相关问题，可参见 安全可视 文档。

企业认证用户免费申请

企业用户免费使用：点击申请