云防火墙通过业务间的流量可视化,帮助用户了解业务之间的访问关系,以此判断执行什么样的访问控制策略。

前提条件

在实现流量可视化之前,用户需先创建业务区、应用组,并将应用添加到业务区和应用组,以建立应用和应用组、业务区之间的关系。

背景信息

您需要提前了解以下概念:
  • 业务区:业务区是东西向业务可视中,构成用户某个业务的各个应用组的集合,通常是按您实际业务的类型进行分类。例如:门户网站业务区(将包含Web应用组、DB应用组)等。
  • 应用组:应用组是东西向业务可视中,提供的相同或相似服务的应用集合。例如:所有部署了MySQL的ECS可以归属到同一个DB应用组。
  • 应用:应用是东西向业务可视的最小单位。默认情况下,一个应用等于一台ECS上所有开放端口的集合。您可以通过指定端口克隆应用来创建新的应用。

步骤一:创建业务区

  1. 登录云防火墙控制台
  2. 单击导航栏的业务可视 > 自定义分组 > 业务区
  3. 业务区页签左上角选择您要创建的业务区所属的VPC。
    说明 VPC包括用户已有的VPC网络和ECS经典网络。每个业务区必须并且只能属于一个VPC。

    业务区
  4. 单击右上角新建业务区
    新建业务区
  5. 新建业务区对话框中配置业务区信息。
    配置业务区信息
    • 名称:业务区的命名,手动输入。长度范围为1-40个字符。
    • 备注:业务区的备注信息。
    • 程度:业务区的重要程度,帮助您在业务关系可视图中清晰区分不同重要程度的业务区。可选择一般重要非常重要3个程度。
      您可以在应用分组可视页面,通过筛选不同的重要程度等级,查看对应重要级别的业务区。
      应用分组可视
  6. 单击确定,完成业务区的创建。
    业务区创建完成后,会归属到您之前选择的VPC中。您可在业务区列表中,对业务区基本信息进行编辑删除业务区。
    说明 业务区下存在应用组时,不可删除业务区。

    管理业务区

步骤二:创建应用组

  1. 登录云防火墙控制台
  2. 单击导航栏的业务可视 > 自定义分组 > 应用组
  3. 应用组页签左上角选择您要创建的应用组所属的VPC。
    应用组
  4. 单击右上角新建应用组
    新建应用组
  5. 新建应用组对话框中配置应用组的信息。
    配置应用组信息
    • 名称:应用组的命名,手动输入。长度范围为1-40个字符。
    • 备注:应用组的备注信息。
    • 程度:应用组的重要程度,帮助您在业务关系可视图中清晰区分不同重要程度的业务区。可选择一般重要非常重要3个程度。
      您可以在应用分组可视页面,双击打开某个业务区后,通过筛选不同的重要程度等级,查看对应重要级别的应用组。
      应用分组可视
    • 业务区:可选选择已有业务区新建业务区
      • 选择了选择已有业务区选项,则需在下方名称下拉框中选择之前您已创建好的业务区名称。
        说明 创建应用组后,该应用组将会被自动加到应用组归属的业务区所在的VPC。
        VPC
      • 如果选择新建业务区,则需在下方填写新建业务区的名称备注信息并选择重要程度
  6. 单击确定,完成应用组的创建。
  7. (可选步骤)单击操作栏的分配,可修改应用组所属的业务区。
    重新分配

    完成业务区分配后,业务区页面的应用组数量将会同步更新。


    应用组数量
    应用组创建完成后,还可在应用组列表中,对应用组的基本信息进行编辑删除应用组。
    说明 应用组下存在应用时,不可删除应用组。

步骤三:为应用分配应用组和业务区

您可在应用页面查看云防火墙中已有的业务区、应用组、应用和ECS数量。
应用
  1. 登录云防火墙控制台
  2. 单击导航栏的业务可视 > 自定义分组 > 应用
  3. 通过搜索功能定位到需要操作的应用。
    搜索功能
  4. 单击操作栏的分配,将该应用添加到之前您已创建好的业务区和应用组中。
    说明 完成应用分配后,业务区页面的业务区数量和应用组数量将会同步更新。

    分配添加
  5. (可选步骤)您也可以在应用列表中,单击右侧操作栏的克隆,复制现有的应用。

    云防火墙开通后会对每个ECS创建一个默认的应用,访问ECS的流量会自动映射到该默认应用中。如果ECS中有多个应用属于不同的业务类型,您可以通过克隆操作创建新的应用,并为该应用分配另一个业务区和应用组。克隆应用时,可对应用所属的ECS实例ID、侦听端口进程名进行修改。

后续操作

应用分组可视