通过微隔离策略,可针对服务器/终端必要的业务端口进行放通、非必要的端口进行禁止,同时支持流量状态可视化,高效提升客户业务安全性。
3.3.12.1.业务梳理
梳理客户业务系统及业务系统间的访问关系,为后续的微隔离策略做准备,如下表。
| 对象 |
业务系统 |
数据库(Server1) 财务系统(Server2) OA系统(Server3) 人事系统(Server4、Server5) |
| IP组 |
办公终端(x.x.x.x) 办公服务器(y.y.y.y) |
|
| 服务 |
SMB(135\136\137\139\445) |
|
| HTTP(80) |
||
| 访问关系 |
访问关系 |
1、SMB服务拒绝 源:办公终端 目的:业务系统服务器 服务:SMB 动作:拒绝 2、HTTP服务允许 源:办公终端 目的:业务系统服务器 服务:HTTP 动作:允许 |
3.3.12.2.创建对象
根据第上述梳理的业务系统,定义业务系统/IP组/服务等对象,为微隔离策略调用。
业务系统创建
通过定义业务系统分类,可将多个服务器终端纳归到统一的业务系统分类中,便于微隔离策略源调用及流量状态展示,配置流程如下:
1.在[微隔离/业务系统]页面,点击<新增>,进行业务系统名称及服务器终端选择,配置界面如下图所示。
• 说明:
一台服务器终端只能加入一个业务系统;
终端仅支持选择服务器终端。
2.创建完成后,可在业务系统页面,查看已创建的业务系统分类及对应分类下的服务器终端信息,可进行角色关联、状态查看等操作。
角色创建
通过角色属性,可定义服务器终端在业务系统分组中的角色,可理解为该服务器终端所提供的服务类型,平台内置了WEB、数据库、FTP、SLB、邮件、消息队列、WebSphere、WebLogic等角色以及对应的角色特征,角色新增配置流程如下:
1.在[微隔离/角色]页面,点击<新增>,在弹出的页面中进行角色名、描述和角色特征编辑,如下图所示。
其中角色特征支持进程名称或端口信息,要求一行一个特征。
2.完成信息编辑后,点击<确定>即完成新角色创建,可在业务系统页面对服务器终端角色进行指定,方便微隔离策略的调用与流量状态显示。
IP组创建
通过IP组可划分内网或互联网的IP到对应的IP组中,平台内置了默认内网IP组包括10.0.0.0/8、172.16.0.0/12、192.168.0.0/16,默认互联网IP组包括0.0.0.0-255.255.255.255,策略通过从上到下进行匹配,方便微隔离策略的调用,IP组创建流程如下:
1.在[微隔离/IP组]页面,点击<新增>,在弹出页面进行IP组添加操作,配置页面如下图所示。
其中地址范围支持单IP、IP范围和子网。
2.点击<确定>进行提交,即完成IP组创建,在IP组页面可对已创建的IP组进行上移、下移等操作,实现策略的从上到下匹配。
服务创建
通过服务属性可定义服务端口,用于微隔离策略调用,内置服务包括35种,可自定义添加,配置流程如下:
• 说明:
自定义服务端口不能与已有所使用端口不能重复。
其中流量类型包括其他流量、业务流量及运维流量,用于流量状态的展示。
1.配置微隔离访问控制策略
在微隔离策略页面,点击<新增>,进行微隔离策略配置,配置界面如下图所示。
其中:
• 源:访问目标服务的源,可以选择业务系统、角色、服务器、IP组;
• 目的:被访问的目标终端;
• 服务:目标终端的服务端口;
• 动作:微隔离策略的动作可选择允许或拒绝。
• 说明:
源和目的可以点击
进行互换。
2.启用微隔离并开启流量上报。
打开[微隔离设置],如下图。启用微隔离和流量上报。
其中:
• 微隔离:勾选即开启微隔离功能,关闭后所有业务系统的微隔离策略将失效;
• 流量上报:开启后可在[流量隔离状态]中展示流量访问情况,关闭后客户端将禁止流量上报,影响[流量隔离状态]的展示。
3.3.12.4.流量查看
微隔离支持流量状态可视化,支持查看终端系统的流量访问情况,可以显示互联网出口、内网互访及已放通和未放通的流量访问情况,同时支持通过过滤策略进行筛选查看,界面如下图所示。
在[过滤流量]中过滤选项说明如下:
• 红色流量线:表示未放通的流量;
• 绿色流量线:表示已放通的流量;
• 业务之间流量:业务系统之间的流量访问情况;
• 业务内部流量:业务系统内部的流量访问情况。
建议使用Chrome浏览器访问!
