使用场景:
分布式防火墙用于保护数据中心的所有云主机,通过创建和配置分布式防火墙策略,可以实现云主机之间的网络隔离,对数据中心内部流量进行安全防护,降低恶意攻击对数据中心内部的影响。
规格限制:
参考https://support.sangfor.com.cn/cases/read?product_id=33&category_id=27110
配置方法:
可以参考SCP和HCI的用户手册里的分布式防火墙配置
实现原理:
HCI:
(1)分布式防火墙(670及以上版本)
在HCI侧,分布式防火墙的作用范围通过applied_to的关系进行关联,
applied_to的对象有三种类型,ALL_VMPORT(所有虚拟机的网口),VM(虚拟机网口)和VM_GROUP(虚拟机组中所有虚拟机网口),
其中ALL_VMPORT类型的分布式防火墙策略对整个HCI的虚拟机生效,
VM_GROUP和VM类型为SCP纳管HCI后下发的生效域,这两种生效域分别对应了SCP侧的网络域对应的生效域和自定义生效域
VM类型和VM_GROUP类型对应的虚拟机组会有交集,上述三种作用类型的分布式防火墙策略对相同的虚拟机生效时,按照策略的绝对优先级依次生效。
670及以后的分布式防火墙生效在虚拟机的网口上
(2)分布式防火墙(670之前的版本(610,620,630等))
670之前分布式防火墙作用在分布式交换机上,所以670之前要创建分布式防火墙,虚拟机必须连接分布式防火墙才能创建
(3)特殊策略和规则
全局控制策略
HCI侧的全局控制策略与SCP侧的全局控制策略,作用类似,但是作用域不相同,HCI侧全局控制策略下有一条默认规则,作用域类型为ALL_VMPORT,即HCI上所有虚拟机。
SCP:
(1)网络模型与分布式防火墙模型
SCP平台存在三种网络形态,分别为:
租户VPC,租户经典网络和admin的经典网络
每个VPC都有对应的生效域,租户不同的经典网络对应同一个生效域,SCP平台只有一个admin经典网络,该网络也只对应一个生效域,如下图所示:
(2)云主机的网络形态与生效域
生效域最终界定了分布式防火墙策略的生效范围,分布式防火墙最终的生效范围的实体设备为云主机,这些云主机的网络形态也有4种,
连接租户VPC子网,连接租户经典网络,租户云主机未连接网络,admin云主机未连接网络
这4种网络形态的虚拟机,VPC子网下的虚拟机归属于该VPC网络的生效域,租户经典网络下的虚拟机和租户下未连接网络的虚拟机,归属于租户经典网络生效域,非租户下的虚拟机归属于admin经典网络生效域模型如下:
(3)自定义生效域
自定义生效域是在VPC网络对应的生效域和经典网络生效域下划分云主机的子集,网络级生效域与自定义生效域虚拟机的范围有交集时,按策略的优先级生效顺序生效,模型如下:
(4)特殊策略和规则
全局控制策略
与网络域对应的生效域下都会默认创建一条全局控制策略,该策略的优先级是当前生效域下最低的策略。
全局控制策略下只有一条全局控制规则,该规则放通所有流量。
全局平台直通策略
被SCP纳管的资源池,会创建一条全局平台直通策略到HCI侧,该策略不会同步到SCP上,作用域为HCI侧的ALL_VMPORT类型,优先级最高。
该策略下有两条全局平台直通规则,保证SCP平台和HCI平台的连通性不受其他策略影响。
(5)SCP同步任务
SCP同步任务针对分布式防火墙部分会完成
(6)注意事项
HCI未被SCP纳管时,分布式防火墙的生效范围是admin经典网络,可以为所有虚拟机建立分布式防火墙并且生效
HCI被SCP纳管时,创建了租户,租户也分经典网络和租户vpc网络,租户创建的网络和虚拟机,只能在scp上进行租户自己创建分布式防火墙策略,不能在HCI上为租户网络和虚拟机创建分布式防火墙,这样创建出来的策略不会生效(生效域不对)
建议使用Chrome浏览器访问!
