虚拟防火墙是一组过滤规则的集合,可以对虚拟机进行安全防护,防止虚拟机遭受外部的攻击,提升数据中心虚拟机的安全性和可靠性。
虚拟防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整体的数据流来对待。对于新建立的应用连接,防火墙会预先检查其关联的规则,放行允许通过的连接,并记录该连接的状态信息,生成状态表;对于该连接的后续数据报文,只要符合状态表,就可以通过。
系统支持两种类型的虚拟防火墙:白名单和黑名单。与白名单防火墙关联的规则匹配的报文允许通过,反之丢弃;与黑名单防火墙关联的规则匹配的报文会被丢弃,反之允许通过。
系统支持配置的规则包括TCP、UDP、ICMP以及一些常用的应用协议如DNS、HTTP、HTTPS、IMAP、IMAPS、LDAP、MS SQL、MYSQL、POP3、POP3S、RDP、SMTP、SMTPS、SSH等。
配置了虚拟防火墙的虚拟机与远端站点通信时,防火墙规则有两种应用方向,包括入口和出口:
入口:远端站点向虚拟机发起连接的方向。
出口:虚拟机向远端站点发起连接的方向。
对于系统支持的DNS、HTTP、HTTPS等常用的应用协议类型的规则,其应用方向默认为入口方向。
虚拟防火墙与ACL策略是互斥的。若虚拟机同时配置了虚拟防火墙和ACL策略,只有虚拟防火墙生效。
虚拟防火墙默认放行所有DHCP连接。若要过滤虚拟机的DHCP报文,请为虚拟机配置相应的ACL策略。
虚拟防火墙正在被虚拟机使用时,不允许删除。
选择顶部“云业务”页签,单击左侧导航树中[云安全/虚拟防火墙]菜单项,进入虚拟防火墙列表页面。
单击<增加>按钮,弹出增加虚拟防火墙对话框。
输入虚拟防火墙的名称和描述信息。
选择防火墙的类型。
根据实际情况为虚拟防火墙增加相应规则:单击<增加规则>按钮,弹出增加规则对话框。设置相关参数,如需增加多条规则可单击<追加>按钮,增加完成后,单击<确定>按钮,返回增加虚拟防火墙对话框。
单击<确定>按钮完成操作。
当用户误删除或需要重新添加已导出的虚拟防火墙时,可以通过该功能将已导出的虚拟防火墙的配置文件重新导入,从而快速创建一个新的虚拟防火墙,虚拟防火墙导入功能可以是同一个云计算管理平台服务器虚拟化创建,也可以创建到其他云计算管理平台服务器虚拟化中,在导入完成后,可以对其虚拟防火墙进行修改或删除防火墙规则,但导入的虚拟防火墙的名称不能与其云计算管理平台服务器虚拟化中已有的虚拟防火墙重名。
选择顶部“云业务”页签,单击左侧导航树中[云安全/虚拟防火墙]菜单项,进入虚拟防火墙列表页面。
单击<导入>按钮,选择需要导入的虚拟机防火墙。
输入虚拟防火墙的名称和描述信息。
选择防火墙的类型。
根据实际情况为虚拟防火墙增加相应规则:单击<增加规则>按钮,弹出增加规则对话框。设置相关参数,如需增加多条规则可单击<追加>按钮,增加完成后,单击<确定>按钮,返回导入虚拟防火墙对话框。
单击<确定>按钮完成操作。
选择顶部“云业务”页签,单击左侧导航树中[云安全/虚拟防火墙]菜单项,进入虚拟防火墙列表页面。
在虚拟防火墙列表中选中待修改的虚拟防火墙,单击<修改>按钮,弹出修改虚拟防火墙对话框。
输入虚拟防火墙的描述信息。
修改虚拟防火墙的规则信息:
增加虚拟防火墙的规则:单击<增加规则>按钮,为虚拟防火墙增加规则。
修改虚拟防火墙的规则:单击规则对应操作行的<修改>按钮,修改对应的规则。
删除虚拟防火墙的规则:单击规则对应操作列的<删除>按钮,删除对应的规则。
单击<确定>按钮完成操作。
选择顶部“云业务”页签,单击左侧导航树中[云安全/虚拟防火墙]菜单项,进入虚拟防火墙列表页面。
在虚拟防火墙列表中选中待删除的虚拟防火墙,单击<删除>按钮,弹出删除虚拟防火墙的确认对话框。
单击<确定>按钮完成操作。
当用户为了防止误删除或需要将该虚拟防火墙同步到其他云计算管理平台服务器虚拟化时,可以通过该功能是将已有的虚拟防火墙以JSON文件的方式导出,导出的配置文件可以适用于本云计算管理平台服务器虚拟化或其他云计算管理平台服务器虚拟化。
选择顶部“云业务”页签,单击左侧导航树中[云安全/虚拟防火墙]菜单项,进入虚拟防火墙列表页面。
在虚拟防火墙列表中选中需要导出的虚拟防火墙,单击<导出>按钮,弹出操作确认对话框,单击<确定>按钮。
选择需要存放文件的路径,单击<保存>按钮。
该功能是将已配置的虚拟防火墙关联给指定的虚拟机。
选择顶部“云业务”页签,单击左侧导航树中[云安全/虚拟防火墙]菜单项,进入虚拟防火墙列表页面。
在虚拟防火墙列表中选中需要增加关联虚拟机的虚拟防火墙,单击<关联虚拟机>按钮,弹出选择虚拟机对话框。
选择需要关联的虚拟机,可以批量选择虚拟机,单击<确定>按钮。
该功能是将虚拟防火墙中已关联的虚拟机解除关联。
选择顶部“云业务”页签,单击左侧导航树中[云安全/虚拟防火墙]菜单项,进入虚拟防火墙列表页面。
在虚拟防火墙列表中选中需要解除关联虚拟机的虚拟防火墙,单击<解关联虚拟机>按钮,弹出选择虚拟机对话框。
选择需要解除关联的虚拟机,可以批量选择虚拟机,单击<确定>按钮。
当用户已经配置虚拟防火墙时,不需要再次手动增加虚拟防火墙,可通过该功能是将已配置的虚拟防火墙再重新复制一次,在复制完成后,可以对其虚拟防火墙进行修改或删除防火墙规则,但复制的虚拟防火墙的名称不能与已有的虚拟防火墙重名,可以对其复制出来的虚拟防火墙进行修改或删除防火墙规则,防火墙类型不可以修改。
选择顶部“云业务”页签,单击左侧导航树中[云安全/虚拟防火墙]菜单项,进入虚拟防火墙列表页面。
在虚拟防火墙列表中选中需要复制的虚拟防火墙,单击<复制>按钮,弹出复制虚拟防火墙对话框。
输入虚拟防火墙的名称和描述信息。
根据实际情况为虚拟防火墙增加相应规则:单击<增加规则>按钮,弹出增加规则对话框。设置相关参数,如需增加多条规则可单击<追加>按钮,增加完成后,单击<确定>按钮,返回复制虚拟防火墙对话框。
单击<确定>按钮完成操作。
虚拟防火墙:
防火墙类型:包括白名单和黑名单两种类型。与白名单防火墙关联的规则匹配的报文允许通过,反之丢弃;与黑名单防火墙关联的规则匹配的报文会被丢弃,反之允许通过。
增加白名单防火墙时,默认入口方向的规则为空,出口方向已关联两条全匹配规则(系统未启用“虚拟机IPv6地址管理”功能时,默认出口方向只关联一条IPv4的全匹配规则)。当虚拟机配置此防火墙后,默认远端站点向虚拟机发起的入方向连接都会被拒绝,但不会限制虚拟机的出方向连接。对于入方向需要放行的连接,可增加对应的入口方向规则。当需要限制虚拟机的出方向连接时,需要先删除防火墙默认关联的出口方向的全匹配规则,再根据实际业务情况增加相应的出口方向规则。
增加黑名单防火墙时,默认关联的入口方向、出口方向规则都为空。当虚拟机配置此防火墙后,默认放行虚拟机的所有入方向、出方向连接。当需要限制虚拟机的入方向或出方向连接时,可根据实际情况增加相应的入口或出口方向规则,与规则匹配的连接报文会被丢弃。
规则列表:
方向:规则应用的方向,即虚拟机与远端站点通信建立逻辑连接的方向。入口表示从远端站点到虚拟机,出口表示从虚拟机到远端站点。
IP协议:虚拟防火墙允许或禁止IP报文通过的协议类型。若此参数设置为“任何”,表示虚拟防火墙允许或者拒绝所有协议类型的IP报文通过。
端口/类型-编码:对于协议类型为TCP或UDP的IP报文,此参数表示虚拟机防火墙允许或禁止IP报文通过的端口号;对于协议类型为ICMP的IP报文,此参数表示虚拟机防火墙允许或禁止IP报文通过的类型-编码。
远端CIDR:虚拟防火墙允许或禁止报文通过的远端站点IP。0.0.0.0/0表示任意的IPv4地址,::/0表示任意的IPv6地址。
增加或修改虚拟防火墙的规则:
方向:虚拟机与远端站点通信建立逻辑连接的方向,包括入口和出口,默认为入口。入口表示从远端站点到虚拟机,出口表示从虚拟机到远端站点。
端口:虚拟机防火墙允许或禁止IP报文通过的端口号或端口组号。可以批量配置多个端口号或端口组号,端口号和端口组号、单个端口号、单个端口组号之间使用英文分号(;)分开,端口组号用减号(-)分开(例如:1;2-3;4),端口号或端口组号不允许重复,并且只能按大小顺序输入。每个端口号或端口组号会生成对应的一条规则。若方向选择为“入口”,则表示远端站点访问虚拟机的端口;若方向选择为“出口”,则表示虚拟机访问远端站点的端口。当选择“定制TCP规则”或“定制UDP规则”时需要设置此参数。白名单防火墙为打开,黑名单防火墙为关闭。
类型:虚拟防火墙允许或禁止ICMP报文通过的type类型。当选择“定制ICMP规则”时需要设置此参数。白名单防火墙为允许,黑名单防火墙为禁止。
编码:虚拟防火墙允许或禁止ICMP报文通过的code编码。当选择“定制ICMP规则”时需要设置此参数。白名单防火墙为允许,黑名单防火墙为禁止。
IP协议:虚拟防火墙允许或禁止IP报文通过的协议类型,对应IP报文头部的protocol字段。当选择“其他规则”时,需要设置此参数。白名单防火墙为允许,黑名单防火墙为禁止。
IP类型:选择IP报文类型,包括IPv4和IPv6。