帮助与文档

我们为你提供丰富、详尽的使用指南以及产品文档

安全

防火墙能极大地提高一个内部网络或主机的安全性,通过策略配置,过滤不安全的服务,从而降低内部网络或主机的风险。为了加强位于基础网络 vxnet-0 中的主机或路由器的安全性,可以在主机或路由器之前放置一个防火墙 (Security Group)。QingCloud 易捷版为每个用户提供了一个缺省防火墙(ID 之后带有星标),默认打开 22 端口。

当然,您也可以创建更多的防火墙。初始状态下,每个防火墙都不包含任何规则,也就是说任何端口都是封闭的,您需要建立规则以打开相应的端口。另外,您可以借助 “IP/端口组管理” 功能把具有相同特征的一组 IP 或者一组端口设置成为 “IP端口组”,并且在防火墙规则中进行添加,实现批量管理功能。

创建防火墙

1、登录 QingCloud 易捷版,选择 「虚拟资源」→「安全」, 点击 「+创建防火墙」。

2、填写防火墙名称,例如 demo-firewall,点击 「确定」。

3、防火墙规则可定义允许或阻止的互联网流量类型。在弹窗中参考如下提示,添加防火墙规则。初始状态下,每个防火墙都不包含任何规则,即,任何端口都是封闭的,您需要建立规则以打开相应的端口。防火墙规则添加支持快捷方式,如在右侧快速配置 ping、ssh、http 等规则。

  • 规则名称:为防火墙规则起一个简洁明了的名称,便于用户浏览和搜索;
  • 优先级:防火墙规则的优先级决定规则应用至网络流量的顺序,数字越小优先级越高;
  • 规则:
    • 下行规则可控制 Internet 用户对服务器的访问规则(如仅向用户开放网站访问);
    • 上行规则可控制服务器可访问的 Internet 访问(如让服务器仅能访问微信 API),从而全面的保护业务安全;
  • 协议:(防火墙支持多协议设置,如常用的 TCP、UDP);
  • 起始端口:1~65525,可点击右侧标志,选择已创建的 IP /端口集合;
  • 结束端口:1~65525;
  • 源 IP:不填表示所有 IP 地址,可点击右侧标志,选择已创建的 IP/端口集合。

注意:开放外网端口存在一定风险,如 Windows 3389、Redis 6379、Elasticsearch 9300、数据库 3306 等被攻击风险较高的端口。若开放 ssh 22 端口,请您确保禁用密码登录,使用密钥方式登录。

如下在防火墙规则中,为 TCP 协议的 80 端口添加一条下行规则,命名为 firewall-demo,行为选择接受,点击 「确定」 创建。意味着 Internet 用户可访问 80 端口的服务,外部流量能够正常通过该端口。

应用修改

新建或修改防火墙规则后,注意都需要应用修改,在防火墙详情页点击 「应用修改」 即可保存当前设置使其生效。

主机应用防火墙规则

1、在虚拟资源下,点击 「安全」,选择其中一个防火墙规则,勾选后点击 「应用防火墙规则」。

2、在弹窗中选择一台或多台主机,将防火墙规则绑定至主机。如下示例勾选 docs-demoip-test 将两台主机绑定至当前防火墙规则。

3、进入该防火墙规则,在操作日志中可以看到已成功将这两台主机绑定。

备份

1、防火墙规则支持创建备份和回滚操作,如下新建一个备份。

2、查看备份详情,后续都可以将防火墙回滚至当前备份的防火墙规则。

IP/端口组管理

另外,您可以借助 “IP/端口集合” 功能把具有相同特征的一组 IP 或者一组端口设置成为 “IP/端口集合”,并且在防火墙规则中进行添加,实现批量管理功能。

1、点击 「IP/端口组管理」,然后点击 「新建IP端口组」。

2、在表单中选择 IP 或端口然后根据需要填写,即可实现批量管理功能,在创建防火墙规则可直接引用此处创建的 IP/端口组。

IP

可输入 IP 地址、IP 段和 IP 地址范围,请使用换行符进行分隔,例如:

192.168.1.1
192.168.2.0/24
192.168.3.1-192.168.3.7

端口组

可输入端口、端口范围,请使用换行符进行分隔,例如:

8080
80-90
10000-15000