自动双向下发功能用于是内网到内网的通信,以两个内网主机的单向访问通信为例,介绍如何使用自动双向下发功能。
说明:
前提条件
需已将云防火墙 升级到企业版或旗舰版。
说明:
日志投递功能需要对云防火墙服务角色 CFW_QcsRole,关联策略 QcloudAccessForCFWRoleIn EnterpriseSecurityGroup 、QcloudAccessForCFWRoleInLogService 权限。
开通 CLS(日志服务)。当您完成 CAM 授权后,网络流日志会投递到您的腾讯云 CLS(日志服务)中。若您尚未开通此功能,请按照控制台提示,手动开启。开启 CLS 后,即可在刷新云防火墙的访问控制日志 > 企业安全组 页面,查看相关日志内容。
操作步骤
1. 登录 云防火墙控制台,在左侧导航中,选择访问控制 > 企业安全组。
2. 在 企业安全组页面,左上角选择需要操作的地域。
说明:
每个地域都有独立的企业安全组的入站规则列表和出站规则列表。
3. 在企业安全组页面下方,选择入站规则 > 添加规则。
4. 在添加入站规则的弹窗中,填写相关字段并选择两个内网主机。例如,只允许主机 A(内网 IP:172.17.xx.xx)访问主机 B(内网 IP:172.17.xx.xx)的规则。
5. 配置规则。第1条规则允许主机 A 访问主机 B,第2条规则禁止所有 IP 访问主机 B。由于第1条规则先执行,所以不会被第2条规则影响。
6. 勾选“自动双向下发”。
由于第1条规则的访问源和访问目的都是内网 IP,所以此规则的“自动双向下发”功能是使能的,而第2条的访问源 IP 不是内网 IP,所以第2条规则,无法“自动双向下发”。
实例对应多个 IP 时,勾选“自动双向下发”功能后,需要确认实例对应的 IP 数量,如果是 IP 对应多个实例,需要手动确定生效的实例。
7. 全部确认后,单击确定,即可在入站规则列表中,查看已添加的规则,同时出站规则列表中,由企业安全组自动生成了一条出站规则。
8. 添加完入站规则后,在私有网络控制台的 安全组页面 中,可查看企业安全组自动生成的安全组,自动配置了安全组规则和关联实例。
注意:
请您不要手动修改云防火墙维护的安全组或路由表,统一在云防火墙的控制台中进行操作。
