安全
防火墙能极大地提高一个内部网络或主机的安全性,通过策略配置,过滤不安全的服务,从而降低内部网络或主机的风险。为了加强位于基础网络 vxnet-0 中主机的安全性,可以在主机之前放置一个防火墙 (Security Group)。青立方® 超融合易捷版为每个用户提供了一个缺省防火墙(ID 之后带有星标),默认打开ICMP for ping 和 22 端口。
当然,您也可以创建更多的防火墙。初始状态下,每个防火墙都不包含任何规则,也就是说任何端口都是封闭的,您需要建立规则以打开相应的端口。另外,您可以借助 “IP/端口组管理” 功能把具有相同特征的一组 IP 或者一组端口设置成为 “IP端口组”,并且在防火墙规则中进行添加,实现批量管理功能。
创建防火墙
1、登录 CloudCube Express ,选择 「虚拟资源」→「安全」, 点击 「+创建防火墙」。
2、填写防火墙名称,例如 demo-firewall,点击 「确定」。
3、防火墙规则可定义允许或阻止的互联网流量类型。在弹窗中参考如下提示,添加防火墙规则。初始状态下,每个防火墙都不包含任何规则,即,任何端口都是封闭的,您需要建立规则以打开相应的端口。防火墙规则添加支持快捷方式,如在右侧快速配置 ping、ssh、http 等规则。
- 规则名称:为防火墙规则起一个简洁明了的名称,便于用户浏览和搜索;
- 优先级:防火墙规则的优先级决定规则应用至网络流量的顺序,数字越小优先级越高;
- 规则:
- 下行规则可控制 Internet 用户对服务器的访问规则(如仅向用户开放网站访问);
- 上行规则可控制服务器可访问的 Internet 访问(如让服务器仅能访问微信 API),从而全面的保护业务安全;
- 协议:(防火墙支持多协议设置,如常用的 TCP、UDP);
- 起始端口:1~65525,可点击右侧标志,选择已创建的 IP /端口集合;
- 结束端口:1~65525;
- 源 IP:不填表示所有 IP 地址,可点击右侧标志,选择已创建的 IP/端口集合。
注意:开放外网端口存在一定风险,如 Windows 3389、Redis 6379、Elasticsearch 9300、数据库 3306 等被攻击风险较高的端口。若开放 ssh 22 端口,请您确保禁用密码登录,使用密钥方式登录。
如下在防火墙规则中,为 TCP 协议的 80 端口添加一条下行规则,命名为 firewall-demo,行为选择接受,点击 「确定」 创建。意味着 Internet 用户可访问 80 端口的服务,外部流量能够正常通过该端口。
应用修改
新建或修改防火墙规则后,注意都需要应用修改,在防火墙详情页点击 「应用修改」 即可保存当前设置使其生效。
主机应用防火墙规则
1、在虚拟资源下,点击 「安全」,选择其中一个防火墙规则,勾选后点击 「应用防火墙规则」。
2、在弹窗中选择一台或多台主机,将防火墙规则绑定至主机。如下示例勾选 docs-demo 和 ip-test 将两台主机绑定至当前防火墙规则。
3、进入该防火墙规则,在操作日志中可以看到已成功将这两台主机绑定。
备份
1、防火墙规则支持创建备份和回滚操作,如下新建一个备份。
2、查看备份详情,后续都可以将防火墙回滚至当前备份的防火墙规则。
IP/端口组管理
另外,您可以借助 “IP/端口集合” 功能把具有相同特征的一组 IP 或者一组端口设置成为 “IP/端口集合”,并且在防火墙规则中进行添加,实现批量管理功能。
1、点击 「IP/端口组管理」,然后点击 「新建IP端口组」。
2、在表单中选择 IP 或端口然后根据需要填写,即可实现批量管理功能,在创建防火墙规则可直接引用此处创建的 IP/端口组。
IP
可输入 IP 地址、IP 段和 IP 地址范围,请使用换行符进行分隔,例如:
192.168.1.1
192.168.2.0/24
192.168.3.1-192.168.3.7
端口组
可输入端口、端口范围,请使用换行符进行分隔,例如:
8080
80-90
10000-15000