云防火墙产品可以为堡垒机提供访问控制、IPS、网络流量分析等功能,可在堡垒机产品本身提供的操作审计、职权管控、安全认证和高效运维等能力的基础上,为用户提供统一公网IP管理和保护的能力。

以下是云防火墙为堡垒机提供安全防护的原理图。

推荐配置概述

  1. 配置互联网边界防火墙外到内策略,允许互联网或指定区域的互联网(即将开放功能)访问堡垒机的开放端口。
  2. 配置互联网边界防火墙内到外策略,允许堡垒机访问公网IP。
  3. 在防火墙开关处打开堡垒机的保护,使进入、流出堡垒机的流量都经过云防火墙的保护。

操作步骤

  1. 登录云防火墙控制台
  2. 定位到安全策略 > 访问控制 > 互联网边界防火墙
  3. 新建外对内访问控制策略,允许互联网或指定区域的互联网(功能即将开放)访问堡垒机的开放端口。
    1. 单击外对内tab页。
    2. (可选步骤)单击地址簿管理 > 端口地址簿 > 新建地址簿

      说明 地址簿用于添加多个IP地址或端口进行批量配置,可简化您的配置流程。如您需要开放的堡垒机端口只有一个,可无需创建地址簿。
    3. 新建端口地址簿区域添加堡垒机对互联网要开放的端口,完成其他配置项并提交

      堡垒机需要对互联网开放的端口:60022(SSH)、63389(RDP)、443(堡垒机BS运维)端口,请根据您的实际访问需要将要对互联网开放的端口加入到端口地址簿。多个端口用英文逗号分隔。最多可添加50个端口。

    4. 新建第一条外对内访问控制策略,允许互联网访问堡垒机指定端口。

      策略配置项说明:
      • 源类型:选择IP类型。
      • 访问源:如果是允许互联网所有地址可访问堡垒机端口,填写0.0.0.0/0,表示互联网所有地址的访问;如果只允许部分区域的互联网访问堡垒机开放端口,请填写对应的IP地址段信息。
      • 目的类型:选择IP类型。
      • 目的:填写堡垒机的IP地址。
        说明 您可以在云防火墙控制台 防火墙开关 > 互联网边界防火墙页面,通过筛选 资产类型查看您的堡垒机IP地址,而无需切换到堡垒机控制台去查看IP信息。
      • 协议类型:选择TCP
      • 端口类型:如果您需要开放多个堡垒机端口,端口类型需要选择地址簿并在端口配置项中选择之前已创建好的堡垒机开放端口地址簿。
      • 应用:选择ANY
      • 动作:选择放行,表示允许互联网地址访问堡垒机对外开放的端口。
    5. 新建第二条外对内访问控制策略,拒绝互联网任意地址对堡垒机非开放端口的访问。

      端口:输入0/0表示堡垒机的所有端口。

      动作:选择拒绝,表示不允许互联网任意地址访问堡垒机非对外开放的端口。

  4. 允许堡垒机访问互联网。

    堡垒机需要通过公网访问阿里云, 或存在跨VPC访问ECS或者访问云外主机的情况, 因此需要允许堡垒机对公网的访问。

    1. 定位到安全策略 > 访问控制 > 互联网边界防火墙 > 内对外
    2. 单击新增策略,并完成允许堡垒机访问互联网的策略配置。

  5. 打开防火墙开关 > 互联网边界防火墙,定位到对应的堡垒机,单击开启保护,开启云防火墙对堡垒机的防护。

    说明 新购买的堡垒机在完成购买15-30分钟后同步到云防火墙。

相关文档