相关概念
云防火墙的使用基于如下常见的用户业务模型,以一个新闻网站业务系统为例进行说明。
图1 新闻网站业务模型
以一个新闻网站应用系统的全生命周期流程为例,通常一个应用系统需要部署多套,分别在开发环境、测试环境、生产环境,以对应开发、测试、上线生产等不同阶段的需要。如图1所示,采用经典的web-app-db三层结构,每层都是多台能力相同的弹性云服务器做等价分担。
通常的防火墙规则配置要求如下:
角色
角色是为弹性云服务器(实质是为弹性云服务器网卡)指定的一类属性标签,该属性标签通常用来描述弹性云服务器在业务中承担的能力,例如图1中的web、app、db就可以作为角色属性,指定本属性后弹性云服务器(实质是弹性云服务器网卡)将被归类到指定的某个角色中。
应用
应用也是为弹性云服务器(实质是为弹性云服务器网卡)指定的一类属性标签,该属性标签通常用来描述弹性云服务器属于哪个应用系统,例如图1中新闻网站业务系统就可以作为应用属性,指定本属性后弹性云服务器(实质是弹性云服务器网卡)将被归类到指定的某个应用系统中。
环境
环境也是为弹性云服务器(实质是为弹性云服务器网卡)指定的一类属性标签,该属性标签通常用来描述弹性云服务器属于生命周期的哪个阶段,例如图1中的开发、测试、生产就可以作为环境属性,指定本属性后弹性云服务器(实质是弹性云服务器网卡)将被归类到指定的某个环境中。
注:上述角色、应用、环境是用多个维度的属性标签的来描述一个弹性云服务器(实质是弹性云服务器网卡)的归属,以便于梳理用户的业务系统的资产和访问控制。
业务区
业务区是用环境和应用属性标签标记并创建的区域,通常用于指明某环境下的某个应用系统。如图1所示就可以认为代表了3个业务区,可以为每个业务区配置不同的安全策略。
策略
建设模式相当于模拟模式,此模式下策略并未真正生效但是用多种颜色流量线模拟出了用户的历史访问关系与当前策略的匹配结果,用户可以根据模拟的结果检验所配置规则的正确性;当用户根据流量线配置完规则后可将策略发布成实施模式。
(1) 建设模式
业务区刚创建时,策略是建设模式,当为建设模式时,业务区内所有网卡之间的访问全部放通,配置的规则并未真正生效。
(2) 实施模式
当用户根据流量线配置完规则后可以将业务区策略发布为实施模式,配置的规则才真正生效,匹配不上规则的访问默认全部阻断。注:业务区策略可以在建设模式和实施模式间互相切换。
价值
云防火墙为租户的弹性云服务器提供微隔离能力,并通过流量可视化、基于业务属性标签的安全策略配置手段来降低安全运维复杂度。
简单易用:用户只需按照弹性云服务器业务用途打上属性标签,自动应用之前配置的安全策略即可使用。
便于长期运维:云防火墙基于属性标签描述的安全组策略可以适应不同分类维度,与传统IP配置相比,降低了运维难度,有利于长期运维。
业务关系可视:云防火墙通过拓扑图方式直观展示弹性云服务器东西向流量的访问关系。
一键隔离:通过与安全态势感知联动,实现对中毒弹性云服务器的快速隔离。
应用场景
(1) 微隔离防护
云防火墙可以通过业务分区、角色分组来帮助用户实现精细化的微隔离,缩小攻击面,降低安全隐患。
(2) 快速运维
云防火墙将流量以线条方式直观呈现给用户,实现流量可视化,相较于通过抓包或tcpdump获取流量的方式,大大降低了运维难度。
(3) 快速扩容
云防火墙去IP化的策略定义方式,能够在业务快速增长时,保持策略不发生频繁变更。用业务属性标签呈现策略,扩容时只需打上相应属性标签即可自动套用已有安全策略。
实现原理
云防火墙架构如图2所示,组件类型说明如表1所示。
图2 云防火墙架构
CFW业务流如下:
用户通过ManageOne运营面(B2B场景为ManageOne租户面)上的云防火墙界面( CFW-Console)创建、管理不同的属性、业务区和规则,并为用户的弹性云服务器打上已创建属性的标签。
CFW-Service调用Neutron提供的FWaaS接口完成规则的创建。
Neutron向CFW-ES/CFW-DF写入弹性云服务器的流量信息。
CFW-Service从CFW-ES/CFW-DF中读取弹性云服务器的流量信息并呈现给CFW-Console。
访问和使用
租户用户登录ManageOne运营面(B2B场景为ManageOne租户面),从“控制台”菜单选择该云服务。
约束与限制