背景信息

云下一代防火墻作為云計算環境的邊界網絡安全，符合等級保護要求條例中邊界安全訪問控制要求項，能夠實現內外網訪問控制隔離等要求。

前期準備

用戶需整理按業務需求整理好業務內外訪問控制需求，整理點包含但不限于以下內容：

• 訪問互聯網業務的云主機信息，內網IP地址；
• 訪問互聯網業務是否存在限制，是否需要記錄上網行為審計；
• 對外發布業務云主機信息，內網IP及對應公網IP；
• 對外發布業務云主機的業務端口信息，使用協議，域名信息等；
• 對外業務或端口是否需要限制源地址訪問，例如運維端口僅放行運維人員訪問；

配置操作

云計算邊界擴展要求針對云·邊界安全有如下要求，要求邊界安全能夠實現訪問控制、惡意代碼防范、入侵防范等能力，以下配置流程可實現以上邊界安全需求。

配置流程說明：

配置內容

提前準備好對應內網服務器的端口服務薄及地址薄等相關對象信息。

1.服務薄相關配置

登錄云墻控制臺，進入【對象】→【服務薄】→【服務】，可直接引用內置或新建；

2.地址薄準備

登錄云墻控制臺，進入【對象】→【地址薄】→【新建地址薄】，輸入名稱和地址信息即可。

3.配置源/目的NAT策略配置

放行策略配置完成，需針對業務進行訪問控制隔離配置，首先配置出站SNAT策略。

打開菜單欄，【策略→NAT→源NAT】，新建策略。

打開菜單欄，【策略→NAT→目的NAT】，新建策略。

4.配置安全策略

出入向地址轉換策略配置完成后，需針對流量進行安全檢測，該功能由安全策略實現。

打開菜單欄，【策略→安全策略→策略→新建策略】

5.配置出向路由和平臺默認路由

登錄云防火墻：【網絡→路由→源路由】。

登錄云平臺

打開云平臺控制臺，虛擬私有云→VPC→路由表→新建，下一跳地址輸入云下一代防火墻網卡地址即可。