云管平台SCP

深信服云计算平台(Sangfor Cloud Platform)向下统一管理多数据中心、向上以服务目录的形式提供laas、Paas、大数据服务,为用户提供省时省事、平滑弹性、安全可靠、业务承载丰富的云计算集成平台,助力企业数据中心云化演进。
点击可切换产品版本
知道了
不再提醒
SCP6.9.1R1
{{sendMatomoQuery("云管平台SCP","分布式防火墙")}}

分布式防火墙

更新时间:2023-12-07

功能说明

  1. 分布式防火墙用于保护数据中心的所有云主机,通过创建和配置分布式防火墙策略,可以实现云主机之间的网络隔离,对数据中心内部流量进行安全防护,降低恶意攻击对数据中心内部的影响。
  1. 提供配置防火墙生效范围,对于VDI+HCI二合一场景,通常情况租户的VPC网络内可能即存在VDI虚拟机又存在业务虚拟机,而用户期望某防火墙规则的作用范围仅对部分虚拟机生效,防火墙生效范围能够满足该场景用户需求。

注意事项

  1. 禁止绕过SCP直接到HCI上执行防火墙操作,可能会造成防火墙规则生效范围错误,造成策略规则冲突。
  2. 分布式防火墙同一个生效域下最多支持创建100条策略。
  3. 分布式防火墙同一个策略中最多支持创建1000个规则。
  4. 分布式防火墙同一个生效域下最多支持创建50IP组。
  5. 分布式防火墙同一个生效域下最多支持创建50个自定义服务。
  6. 691及其之后的版本,分布式防火墙如下规格调整如下:

单个IP组中的IP范围个数由原来的100变为了不限制。

单个虚拟机组内的IP个数由原来的100变为了不限制。

单条规则的源端或目的端引用的虚拟机个数由原来的50变为了不限制。

单条规则的源端或目的端引用的虚拟机组个数由原来的10变为了200

单条规则的源端或目的端聚合后的IP范围个数由原来的1000变为了2000

单个网络域(VPC/经典网络)中的策略个数由原来的100变为了300

前提条件

操作步骤

  1. 登录SCP管理员界面,登录成功后选择[产品与服务/安全服务/分布式防火墙],进入防火墙编辑页面,可以看到现有防火墙策略。其中,“平台直通策略”、“全局控制策略”为默认策略,不可编辑。

平台直通策略:包含平台直通规则,该规则保证SCP与资源池的连通性。

全局控制策略:包含全局控制规则,该规则保证全部流量放通。

图形用户界面, 应用程序

描述已自动生成

  1. 选择左侧列表中资源池名称或租户网络名称,进入相应页面,点击上方<创建策略>按钮,为资源池或租户网络创建防火墙策略。

策略名称:防火墙策略名称。

作用范围:可以是整个资源池,也可以是租户的经典网络或VPC网络。

策略优先级:管理员创建的策略介于平台默认策略之间,其他策略优先级可以手动调整。

点击<设置生效范围>按钮,设置分布式防火墙策略的生效域,即可以对自定义的云主机合集进行防火墙策略的控制。

图形用户界面, 应用程序

描述已自动生成

  1. 支持分组管理防火墙拦截规则,即在已创建的策略中添加该策略下的分布式防火墙规则。点击对应策略的<编辑>按钮,点击<添加规则>注意:这里的选项均所属该策略所在的生效域内。

/目的匹配条件:支持配置IP组、IP范围、云主机、云主机组。

图片包含 游戏机, 画, 钟表

描述已自动生成

当源/目的选择云主机时,如果云主机没有装性能优化工具,系统无法自动获取云主机IP,防火墙规则底层无法进行有效的IP转换,规则实际上是对云主机不生效的,因此在这种情况下需要首先给云主机配置IP后,才能将其作为防火墙规则的源/目的端。

服务:支持选择平台内置服务,也支持根据协议和端口号自定义服务,同一个生效域内的自定义服务可以被多个规则共用。

图形用户界面, 应用程序

描述已自动生成

  1. 回到[创建规则]页面,点击<添加规则>按钮,可继续添加其他规则。

图形用户界面, 文本, 应用程序

描述已自动生成

  1. 确认所有规则添加无误后,点击<确定>。在[规则配置]界面,选择规则记录,点击<上移><下移>按钮,可以对已创建规则的优先级进行调整;点击<移动到>,也可以将规则移动到其他策略组。

表格

描述已自动生成

图形用户界面, 应用程序

描述已自动生成

  1. 同样也支持分布式防火墙策略的优先级调整,在列表中选中需调整优先级的策略,点击<更多>,即可进行调整。

图形用户界面

描述已自动生成

  1. 管理IP组:平台管理员可以管理分布式防火墙策略中的IP组,点击<管理IP>按钮,点击<创建>按钮,输入名称、描述IP范围,即可完成新增IP组操作。注意:自定义IP组在同一个生效域内可以被多个规则共用。

图形用户界面, 应用程序

描述已自动生成

  1. 在配置防火墙策略后,可以进行实时拦截日志配置。

点击<实时拦截日志>按钮,进入实时拦截日志页面,点击<开启拦截日志和直通>,对拦截日志过滤条件进行配置,只有满足条件的日志才会被记录下来;

可勾选“同时开启数据直通”,开启后,资源池中所有防火墙策略将不生效,可用于临时排查问题;

当不需要记录拦截日志时,可点击界面“关闭”按钮,关闭实时日志拦截功能。

图形用户界面, 应用程序

描述已自动生成

图形用户界面, 应用程序, Teams

描述已自动生成

图形用户界面, 应用程序

描述已自动生成