云防火墻的使用基于如下常見的用戶業務模型,以一個新聞網站業務系統為例進行說明。
圖1新聞網站業務模型
以一個新聞網站應用系統的全生命周期流程為例,通常一個應用系統需要部署多套,分別在開發環境、測試環境、生產環境,以對應開發、測試、上線生產等不同階段的需要。如圖1所示,采用經典的web-app-db三層結構,每層都是多臺能力相同的彈性云服務器做等價分擔。
通常的防火墻規則配置要求如下:
web層的彈性云服務器只允許外網訪問其80端口
app層只允許被web層的彈性云服務器訪問其8848端口
db層只允許app層的彈性云服務器訪問其4094端口
角色
角色是為彈性云服務器(實質是為彈性云服務器網卡)指定的一類屬性標簽,該屬性標簽通常用來描述彈性云服務器在業務中承擔的能力,例如圖1中的web、app、db就可以作為角色屬性,指定本屬性后彈性云服務器(實質是彈性云服務器網卡)將被歸類到指定的某個角色中。
應用
應用也是為彈性云服務器(實質是為彈性云服務器網卡)指定的一類屬性標簽,該屬性標簽通常用來描述彈性云服務器屬于哪個應用系統,例如圖1中新聞網站業務系統就可以作為應用屬性,指定本屬性后彈性云服務器(實質是彈性云服務器網卡)將被歸類到指定的某個應用系統中。
環境
環境也是為彈性云服務器(實質是為彈性云服務器網卡)指定的一類屬性標簽,該屬性標簽通常用來描述彈性云服務器屬于生命周期的哪個階段,例如圖1中的開發、測試、生產就可以作為環境屬性,指定本屬性后彈性云服務器(實質是彈性云服務器網卡)將被歸類到指定的某個環境中。
注:上述角色、應用、環境是用多個維度的屬性標簽的來描述一個彈性云服務器(實質是彈性云服務器網卡)的歸屬,以便于梳理用戶的業務系統的資產和訪問控制。
業務區
業務區是用環境和應用屬性標簽標記并創建的區域,通常用于指明某環境下的某個應用系統。如圖1所示就可以認為代表了3個業務區,可以為每個業務區配置不同的安全策略。
策略
建設模式相當于模擬模式,此模式下策略并未真正生效但是用多種顏色流量線模擬出了用戶的歷史訪問關系與當前策略的匹配結果,用戶可以根據模擬的結果檢驗所配置規則的正確性;當用戶根據流量線配置完規則后可將策略發布成實施模式。
(1)建設模式
業務區剛創建時,策略是建設模式,當為建設模式時,業務區內所有網卡之間的訪問全部放通,配置的規則并未真正生效。
(2)實施模式
當用戶根據流量線配置完規則后可以將業務區策略發布為實施模式,配置的規則才真正生效,匹配不上規則的訪問默認全部阻斷。注:業務區策略可以在建設模式和實施模式間互相切換。
價值
云防火墻為租戶的彈性云服務器提供微隔離能力,并通過流量可視化、基于業務屬性標簽的安全策略配置手段來降低安全運維復雜度。
簡單易用:用戶只需按照彈性云服務器業務用途打上屬性標簽,自動應用之前配置的安全策略即可使用。
便于長期運維:云防火墻基于屬性標簽描述的安全組策略可以適應不同分類維度,與傳統IP配置相比,降低了運維難度,有利于長期運維。
業務關系可視:云防火墻通過拓撲圖方式直觀展示彈性云服務器東西向流量的訪問關系。
一鍵隔離:通過與安全態勢感知聯動,實現對中毒彈性云服務器的快速隔離。
應用場景
(1)微隔離防護
云防火墻可以通過業務分區、角色分組來幫助用戶實現精細化的微隔離,縮小攻擊面,降低安全隱患。
(2)快速運維
云防火墻將流量以線條方式直觀呈現給用戶,實現流量可視化,相較于通過抓包或tcpdump獲取流量的方式,大大降低了運維難度。
(3)快速擴容
云防火墻去IP化的策略定義方式,能夠在業務快速增長時,保持策略不發生頻繁變更。用業務屬性標簽呈現策略,擴容時只需打上相應屬性標簽即可自動套用已有安全策略。
實現原理
云防火墻架構如圖2所示,組件類型說明如表1所示。
圖2云防火墻架構
CFW業務流如下:
用戶通過ManageOne運營面(B2B場景為ManageOne租戶面)上的云防火墻界面(CFW-Console)創建、管理不同的屬性、業務區和規則,并為用戶的彈性云服務器打上已創建屬性的標簽。
CFW-Service調用Neutron提供的FWaaS接口完成規則的創建。
Neutron向CFW-ES/CFW-DF寫入彈性云服務器的流量信息。
CFW-Service從CFW-ES/CFW-DF中讀取彈性云服務器的流量信息并呈現給CFW-Console。
訪問和使用
租戶用戶登錄ManageOne運營面(B2B場景為ManageOne租戶面),從“控制臺”菜單選擇該云服務。
約束與限制
CFW只支持RegionTypeI組網場景。
CFW只支持IPv4,不支持IPv6。
CFW不支持共享VPC方式。
CFW只支持對ECS添加屬性標簽和配置規則,不支持對BMS和FusionStage的容器添加屬性標簽。
CFW不支持災備場景。
CFW不支持SR-IOV硬直通。
CFW的部署規模最大只支持500PM。
在同一個項目下,當用戶使用項目級子網時,拓撲圖不支持展示IP地址重疊的流量線。
