背景信息

云防火墻（原生版）作為云計算環境的邊界網絡安全，符合等級保護要求條例中邊界安全訪問控制要求項，能夠實現內外網訪問控制隔離等要求。

前期準備

用戶需按業務需求整理好業務內外訪問控制需求，整理點包含但不限于以下內容：

• 訪問互聯網業務的云主機信息，內網IP地址。

• 訪問互聯網業務是否存在限制，是否需要記錄上網行為審計。

• 對外發布業務云主機信息，內網IP及對應公網IP。

• 對外發布業務云主機的業務端口信息，使用協議，域名信息等。

• 對外業務或端口是否需要限制源地址訪問，例如運維端口僅放行運維人員訪問。

配置流程

云計算邊界擴展針對云·邊界安全有如下要求，要求邊界安全能夠實現訪問控制、惡意代碼防范、入侵防范等能力，以下配置流程可實現以上邊界安全需求。

配置流程說明：

配置內容

提前準備好對應內網服務器的端口服務薄及地址薄等相關對象信息。

服務薄相關配置

登錄云墻控制臺，進入【對象】→【服務薄】→【服務】，可直接引用內置或新建。

地址薄準備

登錄云墻控制臺，進入【對象】→【地址薄】。

單擊“新建”，新建地址薄，輸入名稱和地址信息即可。

配置源/目的NAT策略配置

放行策略配置完成，需針對業務進行訪問控制隔離配置，首先配置出站SNAT策略。

1. 打開菜單欄，【策略→NAT→源NAT】，新建策略。

   

2. 打開菜單欄，【策略→NAT→目的NAT】，單擊“新建 > 高級配置”，新建策略。

   參數	說明
   源地址	依據真實業務確認是否限制源地址。
   目的地址	防火墻網卡地址。
   服務	業務需放行端口策略，調用服務簿。
   轉換為IP	業務主機真實網卡地址。

   

配置安全策略

出入向地址轉換策略配置完成后，需針對流量進行安全檢測，該功能由安全策略實現。

打開菜單欄，“策略→安全策略→策略”，單擊“新建 > 策略”，新建策略。

配置出向路由和平臺默認路由

登錄云防火墻：【網絡→路由→源路由】，單擊“新建”。

登錄云平臺控制臺，虛擬私有云→VPC→路由表→新建，下一跳地址輸入云防火墻（原生版）N100型實例網卡地址即可。