实例管理
购买实例
租户通过本功能完成对服务实例的创建、维护和管理。
菜单路径
产品与服务 → 安全(云御) → 虚拟边界防护 → 服务列表 → 点击购买虚拟边界防护。
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 虚拟边界防护 → 服务列表,进入实例操作界面。
点击"购买虚拟边界防护",填写基本信息。 如下表所示:
| 属性 | 属性说明 |
|---|---|
| 服务名称 | 服务实例的名称。名称只能包含中文、数字、字母和"-",长度不超过 36。 |
| 计费模式 | 包年/包月:包年包月是预付费模式,按订单的购买周期计费,适用于可预估资源使用周期的场景。 |
| 区域 | 不同区域之间内网互不相通,请就近选择靠近您业务的区域,可减少网络延时,提高访问速度。 |
| 选择产品 | 选择已经定义好的产品 |
| 选择规格 | 选择对应产品下的规格 |
| 选择网络 | 选择已经定义好的网络 |
| 选择子网 | 选择已经定义好的网络对应的子网 |
| IP地址 | 允许手动分配ip地址,默认是自动分配 |
| 选择安全组 | 选择已经定义好的安全组 |
| 部署方式 | 部署模式分为“透明引流模式”和“路由转发模式” 透明引流模式:适用于 vxlan 网络,此模式下产品为透明桥接部署,通过 sfc 自动完成对防护目标南北向流量的引流。 路由转发模式:适用于 vlan 网络,此模式下产品为路由模式部署,创建过程中会为产品增加两个引流网卡(创建网卡前,需要新建两个路由引流用的子网),通过在核心交换机上配置策略路由的方式把防护目标的流量牵引到路由入口网卡,安全过滤后的数据通过路由出口网卡流回交换机,进而返回目标地址。 |
| 时长 | 选择购买服务实例的时长 |
注:安全组需要放开的端口如下:
| 访问控制方向 | 协议 | 端口号 | 用途 |
|---|---|---|---|
| 入方向 | TCP | 443 | Web 管理 |
| 入方向 | TCP | 22 | SSH 管理 |
| 入方向 | TCP | 7443 | 授权管理 |
| 出方向 | TCP | Any | -- |
| 出方向 | UDP | Any | -- |
- 确认无误后,点击"立即购买",进入订单确认页, 支付成功后即完成一个虚拟边界的购买 。
开机
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 虚拟边界防护 → 服务列表,进入实例操作界面。
开启单个实例:勾选需要开机的,在列表顶部,单击"开机"。或在右侧操作栏中,单击"更多"-"开机"。
开启多个实例:勾选所有需要开机的实例,在列表顶部,单击"开机"。即可批量开机。
关机
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 虚拟边界防护 → 服务列表,进入实例操作界面。
关闭单个实例:勾选需要关机的,在列表顶部,单击"关机"。或在右侧操作栏中,单击"更多"-"关机"。
关闭多个实例:勾选所有需要关机的实例,在列表顶部,单击"关机"。即可批量关机。
重启
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 虚拟边界防护 → 服务列表,进入实例操作界面。
重启单个实例:勾选需要重启的,在列表顶部,单击"重启"。或在右侧操作栏中,单击"更多"-"重启"。
重启多个实例:勾选所有需要重启的实例,在列表顶部,单击"重启"。即可批量重启。
弹性公网 IP
操作步骤
- 登录控制台。
- 点击 产品与服务 → 安全(云御) → 虚拟边界防护 → 服务列表,进入实例操作界面。
- 绑定 fip:在实例列表右侧操作栏中,单击"更多"-"FIP"-"绑定"。
- 解绑 fip:在实例列表右侧操作栏中,单击"更多"-"FIP"-"解绑"。
防护设置
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 虚拟边界防护 → 服务列表,进入实例操作界面。
创建引流链:在实例列表右侧操作栏中,单击"更多"-"防护设置"-"创建"。
- 防护链创建时间视具体环境而定,大概需要5~20分钟
- 防护创建成功默认为备机
- 如果做主备双活,创建防护链时,需要先创建完成一台再去创建另一台,同vpc内防护链的操作不可同时进行
引流链设置:在实例列表右侧操作栏中,单击"更多"--"防护设置"-"设置"。
- 如遇提示‘’ 因网络波动请优先设置防护目标为子网,或者重新打开防护设置‘’,说明云服务器列表未正确加载,或者加载超时,可尝试重新打开,或切到云服务的服务列表页,查看是否正常
- 如果出现“防护链还没有创建成功”,说明防护链创建失败,请运维同事检查下环境及sfc镜像等
- 如果出现“防护设置还在创建中,请耐心等待...”,则说明防护链还在创建中
引流链删除:在实例列表右侧操作栏中,单击"更多"--"防护设置"-"删除"。
续费
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 虚拟边界防护 → 服务列表,进入实例操作界面。
在需要续费的实例的操作栏中,点击"更多"选择"续费",跳转到续费订单界面。
选择续费的时长,点击"去支付"。
支付成功,完成续费。
管理实例
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 虚拟边界防护 → 服务列表,进入实例操作界面。
管理单个实例:在右侧操作栏中,单击"管理",即可登录到实例管理界面进行操作。
实例详情
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 虚拟边界防护 → 服务列表,进入实例操作界面。
点击需要查看详情的实例 ID 进入 。详情中的基本操作如下表所示
| 操作名称 | 操作 | 详解 |
|---|---|---|
| 虚拟网络 | 点击“刷新” | 刷新虚拟网络名称 |
| 子网 | 点击“刷新” | 刷新子网名称 |
| 安全组 | 点击“刷新” | 刷新安全组名称 |
搜索实例
操作步骤
登录控制台
点击 产品与服务 → 安全(云御) → 虚拟边界防护 → 服务列表,进入实例操作界面。
在上方的搜索框中输入要搜索的实例的名称、ID 或内网 IP,点击"搜索"按钮。
产品登录
产品单点登录
具有 admin 权限的云平台用户,可通过实例的单点登录功能登录虚拟边界防护系统,登录后创建资产、用户和控制策略,操作步骤如下:
登录控制台。
点击 产品与服务 → 安全(云御) → 虚拟边界防护 → 服务列表,进入实例操作界面。
管理单个实例:在右侧操作栏中,单击"管理",即可登录到实例管理界面进行操作。
IP 地址登录
实例创建成功后超级管理员和运维人员可通过 IP 地址登录管理,登录方式有:
通过租户的 VPN 网关连接进入租户 VPC 内部后通过实例 IP 地址登录。
默认超级管理员用户名为 superman 密码为 talent,进入界面后请修改密码。
产品基础网络配置
透明引流模式
产品镜像默认为透明引流模式,开启"防护设置"后,虚拟边界防护系统会自动增加 feth2 和 feth3 两个网卡,并且两个网卡为"虚拟线"模式。
如果接口模式存在问题,请手动调节接口模式。选择网络管理-接口-物理接口,选择 feth2,双击进行编辑,设置为虚拟线模式,对端接口为 feth3.
设置防护策略
配置资源
配置安全域
根据接口设置安全域,因为南北向流量 feth2 作为流入网卡,feth3 作为流出网口,分别定义为两个安全域 area_feth2 和 area_feth3。
进入资源管理-区域-添加区域。
添加区域,名称为 area_feth2,添加接口 feth2。
添加区域,名称为 area_feth3,添加接口 feth3。
预定义 IP 地址
在设置访问控制策略时,需要引用预定义的地址。地址可以为主机 IP、IP 地址范围、子网等
创建地址:资源管理-地址-主机-添加主机。输入主机名称,如网站服务器,添加 IP 地址,此处可以添加多个 IP。确定后添加完成。
创建地址范围:资源管理-地址-主机-添加主机。输入地址范围名称,如内部办公系统,添加起始 IP 地址和终止 IP,此处设置 IP 范围内的排除的地址。
创建网段:资源管理-地址-主机-添加子网。输入子网范围名称,如 OA 办公子网,添加子网的网段和子网掩码。
预定义服务(端口)
系统内部已经预置了常用的服务及协议端口
如需其他端口可通过自定义服务的方式进行增加。通过资源管理-服务-自定义服务。
名称:自定义服务(端口的名称)
协议:选择端口为 TCP/UDP 等
端口:如果是端口范围,请输入起始端口和终止端口,如果仅一个端口起始端口和终止端口相同(如 080),可添加多个端口。
配置入侵防御规则模板
系统内置"精选规则"模板,一般创建防护规则时可直接调用 IPS 精选规则模板进行防护。
如需自定义 IPS 防护规则,通过安全策略---入侵防御---规则集管理---添加规则,新建 IPS 防护规则集。
名称:输入规则集名称
分类方式:选择内置规则库的分类展示方式,比如攻击类型、风险等级、流行程度等,以便于便利的选择该规则集内置的防护规则。
防护规则选择:选择该规则可防护的规则,更改动作为告警或者为阻断,开启日志记录功能。
配置病毒防护规则模板
系统内置了病毒防护规则库,一般情况下可直接引用。
新建病毒防护规则,可选择或关闭病毒检测的协议类型
配置访问控制策略
访问控制策略为虚拟边界防护的核心,通过访问控制策略可按照源 IP、区域、源端口、目的地址、目的区域、服务、应用、入侵防御规则、病毒防护规则等设置防护规则。
在策略添加前,可先增加策略组,以便于策略的分组管理。
选择安全策略---访问控制---策略组管理。添加新的分组
创建安全防护策略,安全策略---访问控制---添加。
设置访问控制:
设置其他控制审计信息,如开启策略统计、记录策略日志。
设置入侵防御、病毒防护等防护规则。选择已经定义好的入侵防御规则和病毒过滤规则即可。
确定后创建防护规则完成。
日志查看
通过数据中心---策略日志可按照分类查看各种类型的防护日志。
选择访问控制,查看访问控制策略日志
选择病毒过滤,查看病毒隔离策略日志
选择入侵防御,查看入侵防御策略日志
选择查询,可通过不同的维度详细进行日志的查询。
设置防护目标
设置完防护策略后,需要在防护设置中添加目标虚机才可生效。
添加防护目标
打开防护设置,选择需要防护的主机,点击确定即可。
取消防护目标
取消防护目标分两种情况。
当前存在防护目标,想要取消其中一台或多台,且取消后还有剩余已防护目标,直接通过防护设置取消对应的主机后点击确定即可。
当前存在防护目标,想要取消其中一台或多台,且取消后没有剩余已防护目标,直接对vfw进行关机操作即可。
常见问题
租户可通过本模块对一些常见问题进行排查、处理。如果已确认是虚拟边界防护产品导致防护目标访问不通的,请尽快联系客户经理解决。
设置防护目标后防护规则不生效
虚拟边界防护产品防护能力只针对南北向流量,因此要求被防护目标需要绑定FIP或EIP,否则流量不会经过虚拟边界防护,防护规则也不生效。如果没有绑定FIP或EIP的主机被防护,在绑定了FIP或EIP后需要重新设置防护目标。
防护目标访问不通
该问题可能因多种原因导致,需要具体分析,可尝试使用以下方式恢复业务:
重新设置防护目标
该方式可解决因计算节点重启导致的规则丢失引起的防护目标无法访问问题。
取消防护
取消防护后流量不再经过虚拟边界防护,可通过该方式验证是否是虚拟边界防护产品故障导致。
虚拟边界防护关机
虚拟边界防护为双机交付,关闭虚拟边界防护主机会在一分钟内进行主备切换,验证是否为虚拟边界防护主机故障导致。 如果主备切换后问题仍然存在,则可将另外一台虚拟边界防护也进行关机操作,最终会触发所有防护目标取消防护。
其它原因
虚拟边界防护产品会和授权服务器进行心跳检测,长时间心跳连通失败会导致虚拟边界防护实例掉线,出现无法转发流量的故障。