文档中心>云防火墙>操作指南>访问控制>企业安全组>实例间单向访问的自动双向下发

实例间单向访问的自动双向下发

最近更新时间:2024-05-17 15:49:31

我的收藏
自动双向下发功能用于是内网到内网的通信,以两个内网主机的单向访问通信为例,介绍如何使用自动双向下发功能。
说明:
云防火墙已推出新版企业安全组,新版企业安全组是在旧版的基础上做了一些改进,主要在配置项、逻辑等方面做了优化,规则匹配条件更加精细化,策略更加直观,便于理解和管理。推荐您可以使用 新版企业安全组,关于新旧版具体差异可以参见 热点问题

前提条件

需已将云防火墙 升级到企业版或旗舰版
首次使用企业安全组,需要已进行 CAM 授权。在您开通企业安全组后,首次进入访问控制 > 企业安全组页面或访问控制日志 > 企业安全组 页面时,请按照提示进行授权操作。
说明:
日志投递功能需要对云防火墙服务角色 CFW_QcsRole,关联策略 QcloudAccessForCFWRoleIn EnterpriseSecurityGroup 、QcloudAccessForCFWRoleInLogService 权限。
开通 CLS(日志服务)。当您完成 CAM 授权后,网络流日志会投递到您的腾讯云 CLS(日志服务)中。若您尚未开通此功能,请按照控制台提示,手动开启。开启 CLS 后,即可在刷新云防火墙的访问控制日志 > 企业安全组 页面,查看相关日志内容。

操作步骤

1. 登录 云防火墙控制台,在左侧导航中,选择访问控制 > 企业安全组
2. 企业安全组页面,左上角选择需要操作的地域。
说明:
每个地域都有独立的企业安全组的入站规则列表和出站规则列表。
3. 在企业安全组页面下方,选择入站规则 > 添加规则
4. 在添加入站规则的弹窗中,填写相关字段并选择两个内网主机。例如,只允许主机 A(内网 IP:172.17.xx.xx)访问主机 B(内网 IP:172.17.xx.xx)的规则。


5. 配置规则。第1条规则允许主机 A 访问主机 B,第2条规则禁止所有 IP 访问主机 B。由于第1条规则先执行,所以不会被第2条规则影响。


6. 勾选“自动双向下发”。
由于第1条规则的访问源和访问目的都是内网 IP,所以此规则的“自动双向下发”功能是使能的,而第2条的访问源 IP 不是内网 IP,所以第2条规则,无法“自动双向下发”。
实例对应多个 IP 时,勾选“自动双向下发”功能后,需要确认实例对应的 IP 数量,如果是 IP 对应多个实例,需要手动确定生效的实例。
7. 全部确认后,单击确定,即可在入站规则列表中,查看已添加的规则,同时出站规则列表中,由企业安全组自动生成了一条出站规则。


8. 添加完入站规则后,在私有网络控制台的 安全组页面 中,可查看企业安全组自动生成的安全组,自动配置了安全组规则和关联实例。
注意:
请您不要手动修改云防火墙维护的安全组或路由表,统一在云防火墙的控制台中进行操作。