更新时间:2023-12-07
功能说明
- 分布式防火墙用于保护数据中心的所有云主机,通过创建和配置分布式防火墙策略,可以实现云主机之间的网络隔离,对数据中心内部流量进行安全防护,降低恶意攻击对数据中心内部的影响。
- 提供配置防火墙生效范围,对于VDI+HCI二合一场景,通常情况租户的VPC网络内可能即存在VDI虚拟机又存在业务虚拟机,而用户期望某防火墙规则的作用范围仅对部分虚拟机生效,防火墙生效范围能够满足该场景用户需求。
注意事项
- 禁止绕过SCP直接到HCI上执行防火墙操作,可能会造成防火墙规则生效范围错误,造成策略规则冲突。
- 分布式防火墙同一个生效域下最多支持创建100条策略。
- 分布式防火墙同一个策略中最多支持创建1000个规则。
- 分布式防火墙同一个生效域下最多支持创建50个IP组。
- 分布式防火墙同一个生效域下最多支持创建50个自定义服务。
- 691及其之后的版本,分布式防火墙如下规格调整如下:
• 单个IP组中的IP范围个数由原来的100变为了不限制。
• 单个虚拟机组内的IP个数由原来的100变为了不限制。
• 单条规则的源端或目的端引用的虚拟机个数由原来的50变为了不限制。
• 单条规则的源端或目的端引用的虚拟机组个数由原来的10变为了200。
• 单条规则的源端或目的端聚合后的IP范围个数由原来的1000变为了2000。
• 单个网络域(VPC/经典网络)中的策略个数由原来的100变为了300。
前提条件
无
操作步骤
- 登录SCP管理员界面,登录成功后选择[产品与服务/安全服务/分布式防火墙],进入防火墙编辑页面,可以看到现有防火墙策略。其中,“平台直通策略”、“全局控制策略”为默认策略,不可编辑。
• 平台直通策略:包含平台直通规则,该规则保证SCP与资源池的连通性。
• 全局控制策略:包含全局控制规则,该规则保证全部流量放通。
- 选择左侧列表中资源池名称或租户网络名称,进入相应页面,点击上方<创建策略>按钮,为资源池或租户网络创建防火墙策略。
• 策略名称:防火墙策略名称。
• 作用范围:可以是整个资源池,也可以是租户的经典网络或VPC网络。
• 策略优先级:管理员创建的策略介于平台默认策略之间,其他策略优先级可以手动调整。
• 点击<设置生效范围>按钮,设置分布式防火墙策略的生效域,即可以对自定义的云主机合集进行防火墙策略的控制。
- 支持分组管理防火墙拦截规则,即在已创建的策略中添加该策略下的分布式防火墙规则。点击对应策略的<编辑>按钮,点击<添加规则>。注意:这里的选项均所属该策略所在的生效域内。
• 源/目的匹配条件:支持配置IP组、IP范围、云主机、云主机组。
:
当源/目的选择云主机时,如果云主机没有装性能优化工具,系统无法自动获取云主机IP,防火墙规则底层无法进行有效的IP转换,规则实际上是对云主机不生效的,因此在这种情况下需要首先给云主机配置IP后,才能将其作为防火墙规则的源/目的端。
• 服务:支持选择平台内置服务,也支持根据协议和端口号自定义服务,同一个生效域内的自定义服务可以被多个规则共用。
- 回到[创建规则]页面,点击<添加规则>按钮,可继续添加其他规则。
- 确认所有规则添加无误后,点击<确定>。在[规则配置]界面,选择规则记录,点击<上移>或<下移>按钮,可以对已创建规则的优先级进行调整;点击<移动到>,也可以将规则移动到其他策略组。
- 同样也支持分布式防火墙策略的优先级调整,在列表中选中需调整优先级的策略,点击<更多>,即可进行调整。
- 管理IP组:平台管理员可以管理分布式防火墙策略中的IP组,点击<管理IP组>按钮,点击<创建>按钮,输入名称、描述IP范围,即可完成新增IP组操作。注意:自定义IP组在同一个生效域内可以被多个规则共用。
- 在配置防火墙策略后,可以进行实时拦截日志配置。
• 点击<实时拦截日志>按钮,进入实时拦截日志页面,点击<开启拦截日志和直通>,对拦截日志过滤条件进行配置,只有满足条件的日志才会被记录下来;
• 可勾选“同时开启数据直通”,开启后,资源池中所有防火墙策略将不生效,可用于临时排查问题;
• 当不需要记录拦截日志时,可点击界面“关闭”按钮,关闭实时日志拦截功能。