本文将为您介绍如何通过企业安全组进行配额管理及添加规则等操作。
说明:
前提条件
需已将云防火墙 升级到企业版或旗舰版。
说明:
日志投递功能需要对云防火墙服务角色 CFW_QcsRole,关联策略 QcloudAccessForCFWRoleIn EnterpriseSecurityGroup 、QcloudAccessForCFWRoleInLogService 权限。
开通 CLS(日志服务)。当您完成 CAM 授权后,网络流日志会投递到您的腾讯云 CLS(日志服务)中。若您尚未开通此功能,请按照控制台提示,手动开启。开启 CLS 后,即可在刷新云防火墙的访问控制日志 > 企业安全组 页面,查看相关日志内容。
操作步骤
步骤1:配额管理
企业安全组会占用您的安全组配额,您可以在企业安全组页面查看并管理相关安全组配额。
1. 登录 云防火墙控制台,在左侧导航中,选择访问控制 > 企业安全组。
2. 在企业安全组页面的规则列表概况右上角,单击配额详情,可以查看安全组配额。
3. 在安全组配额详情页面,可查看各地域的安全组配额详情,并根据需求查看各关联实例及安全组详情。
字段说明:
已有安全组数:已配置的安全组个数。
安全组数配额:每个地域允许创建的安全组数上限。
安全组规则数:每个安全组允许的出站或入站规则数。
安全组绑定实例数:单个安全组关联的云服务器实例数。
实例绑定安全组数:每个实例可以关联的安全组个数。
关联实例:已关联实例列表,并可查看各实例详情。
安全组列表:已有安全组列表,并可查看各安全组详情。
4. (可选)安全组的配额是有限的,当您完成一次添加规则、插入规则或编辑规则的操作后,若安全组配额不足,系统会提示您调整相应的安全组配额,在企业安全组页面的规则列表概况右上角,单击管理配额,去工单系统中申请安全的相关配额即可。
步骤2:添加规则
规则分为入站规则和出站规则,规则列表在同一时间只允许一个用户进行操作,本文将以入站规则为例进行说明(出站规则同理)。
1. 在 企业安全组页面,左上角选择需要操作的地域。
说明:
每个地域都有独立的企业安全组的入站规则列表和出站规则列表。
2. 在企业安全组页面下方,选择入站规则>添加规则。
3. 在添加入站规则的弹窗中,填写相关字段,单击确定。
规则优先级:“最先”是将新规则插入到规则列表的最前方,优先级最高。“最后”是将新规则插入到规则列表的最后,优先级最低。
访问目的类型:包括“云服务器”、“云数据库”、“弹性网卡”及“负责均衡”,并根据不同访问目的类型,填写相关字段。
自动双向下发:当访问源地址填写为实例、子网、私有网络地址时,可通过自动双向下发,分配一条相同的出站规则(执行顺序为最高),适用于内网对内网的双向放行的场景。
注意:
当资产绑定唯一安全组时,安全组默认阻断全部。
若您的资产中存在没有绑定任何安全组的资产实例,下发企业安全组策略会为这些资产绑定唯一安全组,存在较高安全风险,请谨慎操作。
4. 添加完成,该入站规则将出现在入站规则列表中。
5. 添加完入站规则后,在私有网络控制台的 安全组页面 中,可查看企业安全组自动生成的安全组,自动配置了安全组规则和关联实例。
注意
请您不要在其他位置手动修改云防火墙维护的安全组或路由表(如 NAT 路由表、CVM 安全组等),请统一在云防火墙的控制台中进行操作。
步骤3:编辑规则
编辑规则:在目标规则右侧,单击编辑,即可修改规则配置,修改完成后,单击完成即可。
停用规则:在目标规则的状态栏,可以控制规则是否生效。若关闭开关,即停用规则,此规则不再参与规则匹配。
注意:
企业安全组规则被停用后,安全组中的对应规则会被删除,但此规则依然会保留在企业安全组的规则列表中。
插入规则:在目标规则右侧,单击插入,可在当前规则的前方新增一条规则,优先级高于当前规则。
删除规则:在目标规则右侧,单击删除,二次确认后,可以删除目标规则。
注意:
删除规则后,企业安全组和安全组会同时删除此规则,且操作不可撤销。
快速排序:
1.1 规则在列表中的顺序,决定了执行的优先级。在入站规则列表上方,单击快速排序。
1.2 可以通过对规则的拖拽操作,快速完成规则优先级的调整。
1.3 调整完成后,单击保存,调整后的优先级即可生效,企业安全组会自动将新的规则优先级下发到实例。
导出规则:在规则列表的右上角,单击导出按钮,可以导出全量的入站规则或出站规则的 Excel文件。
注意:
导出规则操作忽略了检索条件和规则开关状态。
常见问题
企业安全组到期后,云防火墙维护的安全组会被删除吗?
不会,云防火墙到期后,不会清除私有网络控制台中安全组配置。
可以在私有网络控制台,直接修改云防火墙维护的安全组吗?
不可以。在私有网络控制台手动修改后的安全组规则,不会体现在 企业安全组页面 中,容易产生规则管理上的纰漏,影响网络安全防护,同时企业安全组的规则更新后,会同步规则到安全组,手动修改的安全组配置会被覆盖。
