更新时间:2024-05-09
功能说明
大规模业务部署场景下,为了避免虚拟机之间的访问权限开放过大造成业务主机被入侵、数据丢失、数据泄露等安全事件,往往需要对各个业务系统进行细粒度的访问权限控制。微隔离策略可以根据30天内的业务应用访问关系自动生成业务拟机之间的访问控制策略。帮助运维人员更快速、轻松地梳理访问关系,配置控制策略。策略生成后,提供可视化的预发布效果预览,帮助用户识别策略错配或者漏配,通过预发布快速验证与调整,确保不对业务造成影响。同时策略生效后,持续监控业务访问情况,当业务出现访问异常时主动进行告警,帮助运维人员定位访问控制策略错配问题,及时恢复应用访问。
注意事项
- 平台需要学习一段时间的业务访问流量,才可以进行分布式防火墙策略推荐。
- NAT场景,因NAT后IP可能无法对应到真实的虚拟机,导致推荐的策略不准。
- DNS场景,当域名转换的IP发生变化后,会断网。因为流量是按IP上报的,新的IP没有学习到流量,会被封堵。
- DFW本身不支持的场景,微隔离策略推荐也不支持。
- 预发布策略只能在流可视上看到,用户自己看不到。scp场景,集群异常离线后,上面的预发布策略会存在残留
- 虚拟机变更分组,或从分组中删除后,分组级别的流量视角无法及时同步变更,只能更新虚机到虚机的流量线。任何涉及分组的流量视角,都无法在虚机分组变更的第一时间更新,需要等待新的流量。
- 低版本升级到6X0后,由于网络域id缺失,会导致网络拓扑查询时,其他分组与当前展开分组的访问关系拓扑失效
- 升级后690的外网中包含部分6100的符合内网定义数据数据,全部作为外网展示(反之内网也是如此)
操作步骤
- 创建策略:进入[网络可视化]页面,点击策略生成器,会根据30天内的业务应用访问关系自动生成业务虚拟机之间的访问控制策略。帮助运维人员更快速、轻松地梳理访问关系,配置控制策略。
- 策略审核验证:策略生成后,提供可视化的预发布效果预览,帮助用户识别策略错配或者漏配,通过预发布快速验证与调整,确保不对业务造成影响。
- 异常访问预警:策略生效后,持续监控业务访问情况,当业务出现访问异常时主动进行告警,帮助运维人员定位访问控制策略错配问题/风险访问,及时介入进行进一步的分析排查