VPC防火墙

VPC防火墙:VPC防火墙可以管控VPC网络的南北向流量,通过配置规则集和规则来管控网络的访问控制策略,VPC路由器的每个网卡流量方向上允许绑定一个规则集,可有效保护整个VPC的通信安全以及VPC路由器安全,与作用于云主机虚拟网卡、侧重于保护VPC内部东西向通信安全的安全组相辅相成。

防火墙与安全组的区别:VPC防火墙管控南北向流量,作用范围是整个VPC;安全组主要管控东西向的流量,作用范围是云主机虚拟网卡,二者互为补充,具体区别如下:
对比项 安全组 防火墙
作用范围 云主机虚拟网卡 整个VPC网络
部署方式 分布式 集中式
部署位置 云主机 VPC路由器
配置策略 仅支持允许策略 可自定义允许、丢弃或拒绝策略
优先级 按照配置顺序 自定义优先级顺序
规则匹配 源IP、源端口、协议 源IP、源端口、目的IP、目的端口、协议、报文状态

创建VPC防火墙

ZStack私有云主菜单,点击网络资源 > VPC > VPC防火墙,进入VPC防火墙界面,点击创建VPC防火墙,在弹出的创建VPC防火墙界面,可参考以下示例输入相应内容:
  • 名称:设置VPC防火墙的名称
  • 简介:可选项,可留空不填
  • VPC路由器:选择需要防护的VPC路由器
    Note: 创建防火墙需要VPC路由器需处于运行状态,且未绑定任何防火墙。
Figure 1所示:
Figure 1. 创建VPC防火墙


VPC防火墙详情页

VPC防火墙管理界面,点击相应VPC防火墙的名称,可展开其详情页。包含以下子页面:基本属性、规则集和审计,如Figure 2所示:
Figure 2. VPC防火墙详情页


  • 基本属性:
    该子页面显示了当前VPC防火墙的基本情况,包括:名称、简介、所有者、VPC路由器名称和UUID等。本页面支持修改VPC防火墙的相关参数:
    • 名称和简介:支持修改VPC防火墙的名称和简介
  • 规则集:
    规则集是VPC防火墙网络防护规则的集合,包括入方向规则集和出方向规则集,入方向规则集已由系统默认创建,支持在入方向规则集中添加自定义规则,在出方向规则集内创建多个规则,如Figure 3所示,具体请参考创建规则集
    Figure 3. 规则集


  • 审计:

    该子页面显示了对当前VPC防火墙的操作日志。

VPC防火墙支持的操作

VPC防火墙支持以下操作:
  • 创建VPC防火墙:创建一个新的VPC防火墙
  • 更新配置:更新VPC防火墙的配置
  • 添加规则集:为VPC防火墙添加规则集
  • 添加规则:选择规则集并添加规则
  • 删除:删除VPC防火墙

创建规则集

在VPC防火墙界面勾选需要创建规则集的防火墙,点击更多操作 > 添加规则集,,在弹出的添加规则集界面,可参考以下示例输入相应内容:
  • 名称:设置规则集的名称
  • 默认行为:选择接收到网络请求的处理办法,包括:接受、丢弃、拒绝
    • 接受:允许VPC路由器上的网络请求通过
    • 丢弃:不允许VPC路由器上的网络请求通过,且不向请求端反馈
    • 拒绝:不允许VPC路由器上的网络请求通过,并向请求端反馈不通过信息
  • 网络:选择需要加载规则集的网络
    Note: 新建规则集仅支持作用于网卡出方向,只可过滤网卡出方向的网络请求。
Figure 4所示:
Figure 4. 创建规则集


规则集详情页

VPC防火墙管理界面,点击相应VPC防火墙的名称,展开其详情页,点击规则集,进入规则集页面,点击相应的规则集名称,可以展开其详情页,包含以下子页面:基本属性、规则集和审计,如Figure 5所示:
Figure 5. 规则集详情页


  • 基本属性:
    该子页面显示了当前规则集的基本情况,包括:名称、简介、默认行为和UUID等。本页面支持修改规则集的相关参数:
    • 名称和简介:支持修改规则集的名称和简介
  • 规则:
    VPC防火墙的网络防护规则,可在规则集内创建多个规则,如Figure 6所示,具体请参考创建规则
    Figure 6. 规则


  • 网络:
    规则集作用的网络,支持绑定和解绑操作。
    Note: 仅支持出方向规则集绑定/解绑网络操作。
  • 审计:

    该子页面显示了对当前规则集的操作日志。

规则集支持的操作

规则集支持以下操作:
  • 添加规则集:为当前VPC防火墙添加规则集
  • 添加规则:选择规则集并添加规则
  • 绑定网络:为规则集绑定网络
  • 删除:删除规则集
    Note: 入方向规则集不支持删除操作。

创建规则

在规则集界面勾选需要创建规则的防火墙,点击规则集操作 > 添加规则,,在弹出的添加规则界面,可参考以下示例输入相应内容:
  • 规则集:选择需要添加规则的规则集
  • 优先级:设置规则优先级
    Note:
    • 优先级支持输入范围:1001-2999,数字越小表示优先级越高
    • 同一规则集内,规则优先级不能相同
  • 行为:选择接收到网络请求的处理办法,包括:接受、丢弃、拒绝
    • 接受:允许VPC路由器上的网络请求通过
    • 丢弃:不允许VPC路由器上的网络请求通过,且不向请求端反馈
    • 拒绝:不允许VPC路由器上的网络请求通过,并向请求端反馈不通过信息
  • 报文状态:可选项,选择VPC防火墙需要匹配规则的报文,例如:若勾选new选项,则所有new状态的报文将按照当前规则设置的行为来处理
    • new:新连接请求
    • established:已建立的连接
    • invalid:无法识别的连接
    • related:相关联的连接,当前连接是一个新请求,但附属于某个已存在的连接
  • 协议:必选项,选择VPC防火墙需要匹配规则的协议,例如:若选择TCP,则所有TCP协议的请求将按照当前规则设置的行为来处理
  • 源IP地址/目的IP地址:可选项,设置当前规则需要匹配的源IP地址和目的IP地址,支持输入固定IP地址、IP地址范围或IP/掩码格式,若使用IP地址范围格式需要以“-”分隔,如:192.168.0.1-192.168.0.100
Figure 7所示:
Figure 7. 创建规则




规则页

VPC防火墙管理界面,点击相应VPC防火墙的名称,展开其详情页,点击规则集,进入规则集页面,点击规则,进入规则页面,如Figure 8所示:
Figure 8. 规则


  • 优先级:展示规则的优先级,数字越小表示优先级越高,系统规则优先级范围:1-1000、4000-9999;自定义规则支持的优先级范围:1001-2999
  • 规则类型:系统规则是支持系统服务的预置规则,不支持添加、修改或删除系统规则操作;自定义规则是用户自行创建的规则,支持添加、修改和删除自定义规则

注意事项

防火墙注意事项:
  • 一个VPC路由器只能创建一个防火墙
  • 一个网卡包含in(入)、out(出)两个防护方向,每个防护方向只能设置一个规则集
规则集注意事项:
  • 一个规则集下最多可以挂载9999个规则
  • 仅支持新建出方向规则集,作用于网卡出方向
  • 规则集的出入方向是针对VPC路由器而言,请谨慎操作
  • 入方向规则集已由系统默认创建,支持在入方向规则集中添加自定义规则,入方向规则集不支持删除操作
  • 同一规则集可以在多个网卡上复用
规则注意事项:
  • 规则隶属于规则集,不能复用在多个规则集上
  • 系统规则是支持系统服务的预置规则,优先级范围:1-1000、4000-9999;自定义规则支持的优先级范围:1001-2999,系统预留优先级范围:3000-3999,数字越小表示优先级越高
  • 不支持添加、修改或删除系统规则操作