相關(guān)概念

云防火墻的使用基于如下常見的用戶業(yè)務(wù)模型，以一個新聞網(wǎng)站業(yè)務(wù)系統(tǒng)為例進(jìn)行說明。

圖1 新聞網(wǎng)站業(yè)務(wù)模型

以一個新聞網(wǎng)站應(yīng)用系統(tǒng)的全生命周期流程為例，通常一個應(yīng)用系統(tǒng)需要部署多套，分別在開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境，以對應(yīng)開發(fā)、測試、上線生產(chǎn)等不同階段的需要。如圖1所示，采用經(jīng)典的web-app-db三層結(jié)構(gòu)，每層都是多臺能力相同的彈性云服務(wù)器做等價分擔(dān)。

通常的防火墻規(guī)則配置要求如下：

• web層的彈性云服務(wù)器只允許外網(wǎng)訪問其80端口
• app層只允許被web層的彈性云服務(wù)器訪問其8848端口
• db層只允許app層的彈性云服務(wù)器訪問其4094端口

角色

角色是為彈性云服務(wù)器(實(shí)質(zhì)是為彈性云服務(wù)器網(wǎng)卡)指定的一類屬性標(biāo)簽，該屬性標(biāo)簽通常用來描述彈性云服務(wù)器在業(yè)務(wù)中承擔(dān)的能力，例如圖1中的web、app、db就可以作為角色屬性，指定本屬性后彈性云服務(wù)器(實(shí)質(zhì)是彈性云服務(wù)器網(wǎng)卡)將被歸類到指定的某個角色中。

應(yīng)用

應(yīng)用也是為彈性云服務(wù)器(實(shí)質(zhì)是為彈性云服務(wù)器網(wǎng)卡)指定的一類屬性標(biāo)簽，該屬性標(biāo)簽通常用來描述彈性云服務(wù)器屬于哪個應(yīng)用系統(tǒng)，例如圖1中新聞網(wǎng)站業(yè)務(wù)系統(tǒng)就可以作為應(yīng)用屬性，指定本屬性后彈性云服務(wù)器(實(shí)質(zhì)是彈性云服務(wù)器網(wǎng)卡)將被歸類到指定的某個應(yīng)用系統(tǒng)中。

環(huán)境

環(huán)境也是為彈性云服務(wù)器(實(shí)質(zhì)是為彈性云服務(wù)器網(wǎng)卡)指定的一類屬性標(biāo)簽，該屬性標(biāo)簽通常用來描述彈性云服務(wù)器屬于生命周期的哪個階段，例如圖1中的開發(fā)、測試、生產(chǎn)就可以作為環(huán)境屬性，指定本屬性后彈性云服務(wù)器(實(shí)質(zhì)是彈性云服務(wù)器網(wǎng)卡)將被歸類到指定的某個環(huán)境中。

注：上述角色、應(yīng)用、環(huán)境是用多個維度的屬性標(biāo)簽的來描述一個彈性云服務(wù)器(實(shí)質(zhì)是彈性云服務(wù)器網(wǎng)卡)的歸屬，以便于梳理用戶的業(yè)務(wù)系統(tǒng)的資產(chǎn)和訪問控制。

業(yè)務(wù)區(qū)

業(yè)務(wù)區(qū)是用環(huán)境和應(yīng)用屬性標(biāo)簽標(biāo)記并創(chuàng)建的區(qū)域，通常用于指明某環(huán)境下的某個應(yīng)用系統(tǒng)。如圖1所示就可以認(rèn)為代表了3個業(yè)務(wù)區(qū)，可以為每個業(yè)務(wù)區(qū)配置不同的安全策略。

策略

建設(shè)模式相當(dāng)于模擬模式，此模式下策略并未真正生效但是用多種顏色流量線模擬出了用戶的歷史訪問關(guān)系與當(dāng)前策略的匹配結(jié)果，用戶可以根據(jù)模擬的結(jié)果檢驗(yàn)所配置規(guī)則的正確性;當(dāng)用戶根據(jù)流量線配置完規(guī)則后可將策略發(fā)布成實(shí)施模式。

(1) 建設(shè)模式

業(yè)務(wù)區(qū)剛創(chuàng)建時，策略是建設(shè)模式，當(dāng)為建設(shè)模式時，業(yè)務(wù)區(qū)內(nèi)所有網(wǎng)卡之間的訪問全部放通，配置的規(guī)則并未真正生效。

(2) 實(shí)施模式

當(dāng)用戶根據(jù)流量線配置完規(guī)則后可以將業(yè)務(wù)區(qū)策略發(fā)布為實(shí)施模式，配置的規(guī)則才真正生效，匹配不上規(guī)則的訪問默認(rèn)全部阻斷。注：業(yè)務(wù)區(qū)策略可以在建設(shè)模式和實(shí)施模式間互相切換。

價值

云防火墻為租戶的彈性云服務(wù)器提供微隔離能力，并通過流量可視化、基于業(yè)務(wù)屬性標(biāo)簽的安全策略配置手段來降低安全運(yùn)維復(fù)雜度。

• 簡單易用：用戶只需按照彈性云服務(wù)器業(yè)務(wù)用途打上屬性標(biāo)簽，自動應(yīng)用之前配置的安全策略即可使用。
• 便于長期運(yùn)維：云防火墻基于屬性標(biāo)簽描述的安全組策略可以適應(yīng)不同分類維度，與傳統(tǒng)IP配置相比，降低了運(yùn)維難度，有利于長期運(yùn)維。
• 業(yè)務(wù)關(guān)系可視：云防火墻通過拓?fù)鋱D方式直觀展示彈性云服務(wù)器東西向流量的訪問關(guān)系。
• 一鍵隔離：通過與安全態(tài)勢感知聯(lián)動，實(shí)現(xiàn)對中毒彈性云服務(wù)器的快速隔離。

應(yīng)用場景

(1) 微隔離防護(hù)

云防火墻可以通過業(yè)務(wù)分區(qū)、角色分組來幫助用戶實(shí)現(xiàn)精細(xì)化的微隔離，縮小攻擊面，降低安全隱患。

(2) 快速運(yùn)維

云防火墻將流量以線條方式直觀呈現(xiàn)給用戶，實(shí)現(xiàn)流量可視化，相較于通過抓包或tcpdump獲取流量的方式，大大降低了運(yùn)維難度。

(3) 快速擴(kuò)容

云防火墻去IP化的策略定義方式，能夠在業(yè)務(wù)快速增長時，保持策略不發(fā)生頻繁變更。用業(yè)務(wù)屬性標(biāo)簽呈現(xiàn)策略，擴(kuò)容時只需打上相應(yīng)屬性標(biāo)簽即可自動套用已有安全策略。

實(shí)現(xiàn)原理

云防火墻架構(gòu)如圖2所示，組件類型說明如表1所示。

圖2 云防火墻架構(gòu)

CFW業(yè)務(wù)流如下：

• 用戶通過ManageOne運(yùn)營面(B2B場景為ManageOne租戶面)上的云防火墻界面( CFW-Console)創(chuàng)建、管理不同的屬性、業(yè)務(wù)區(qū)和規(guī)則，并為用戶的彈性云服務(wù)器打上已創(chuàng)建屬性的標(biāo)簽。
• CFW-Service調(diào)用Neutron提供的FWaaS接口完成規(guī)則的創(chuàng)建。
• Neutron向CFW-ES/CFW-DF寫入彈性云服務(wù)器的流量信息。
• CFW-Service從CFW-ES/CFW-DF中讀取彈性云服務(wù)器的流量信息并呈現(xiàn)給CFW-Console。

訪問和使用

租戶用戶登錄ManageOne運(yùn)營面(B2B場景為ManageOne租戶面)，從“控制臺”菜單選擇該云服務(wù)。

約束與限制

• CFW只支持Region Type I組網(wǎng)場景。
• CFW只支持IPv4，不支持IPv6。
• CFW不支持共享VPC方式。
• CFW只支持對ECS添加屬性標(biāo)簽和配置規(guī)則，不支持對BMS和FusionStage的容器添加屬性標(biāo)簽。
• CFW不支持災(zāi)備場景。
• CFW不支持SR-IOV硬直通。
• CFW的部署規(guī)模最大只支持500PM。
• 在同一個項(xiàng)目下，當(dāng)用戶使用項(xiàng)目級子網(wǎng)時，拓?fù)鋱D不支持展示IP地址重疊的流量線。