6.1. 防火墙服务指南

本篇指南旨在帮助新用户在SDN(Software Defined Networking,软件定义网络) 的环境下创建防火墙设备,为用户的云主机提供访问控制服务。

6.1.1. 概览

用户通过构建防火墙服务,可以过滤云主机访问外部网络(目标),以及外部网络(目标)访问云主机的规则。用户允许建立多个防火墙,每个防火墙包含了一系列的过滤规则。用户只需将云主机绑定到对应的防火墙即可。用户只需将云主机绑定到对应的防火墙即可。

默认防火墙名称为default,默认只开放了22,80,443,3389端口和ICMP规则。

默认规则说明

通过Web控制台,点击页面左边导航栏的”安全”模块中的”防火墙”选项。 点击防火墙名称”default”,可查看内部规则。

../_images/default_fw.png
  • 入口规则

    入口规则代表从外部(目标)访问云主机的规则;

    输入类型有2种:IPv4和IPv6;IP协议有TCP、UDP、ICMP等;目标”CIDR: 0.0.0.0/0”或”CIDR: ::/0”代表任意地址。

  • 出口规则

    出口规则代表从云主机访问外部(目标)的规则;字段解释同上。

6.1.2. 新建/修改/删除防火墙

1.新建防火墙

新建防火墙,默认规则有2条,用户可手动添加其他规则。

  • 通过Web控制台,点击页面左边导航栏的”安全”模块中的”防火墙”选项。
  • 点击”新建”按钮
  • 输入防火墙名称
  • 输入描述
  • 点击”确定”按钮
../_images/create_fw.png

2.修改防火墙

修改防火墙名称或者描述信息

  • 通过Web控制台,点击页面左边导航栏的”安全”模块中的”防火墙”选项。
  • 选中需要修改的”防火墙名称”
  • 点击”修改”按钮
  • 输入新的”防火墙名称”和”描述”
  • 点击”确定”
../_images/update_fw.png

3.删除防火墙

删除防火墙,防火墙规则也将删除。

  • 通过Web控制台,点击页面左边导航栏的”安全”模块中的”防火墙”选项。
  • 选中需要删除的”防火墙名称”
  • 点击”删除”按钮
  • 点击”确定”

4.注意事项

默认防火墙default,不能修改和删除。

6.1.3. 新建/删除防火墙规则

1.新建防火墙规则

用户可以在防火墙中定义自己的访问规则,实现更细致的访问控制。

  • 通过Web控制台,点击页面左边导航栏的”安全”模块中的”防火墙”选项。
  • 选中”防火墙名称”,如default,进入default的详情界面。
  • 点击”新建”按钮

示例说明

  • 定制TCP、UDP规则

    说明:过滤基于TCP、UDP规则的端口号

    方向:入口和出口

    端口:可指定端口和端口范围。如果指定端口,则需要在下面填入端口号(范围1~65535);如果指定端口范围,则填入起始端口和结束端口。

    方式:CIDR,指定网络网段;防火墙,指定某一防火墙。

    如:允许从网段10.5.0.0/24, 端口范围34-56的tcp访问。

    ../_images/create_fw_rule.png
  • ICMP规则

    说明:过滤ICMP规则

    方向:入口和出口

    类型:ICMP报文中的类型字段,和编码一起使用。如类型字段8,编码字段0,代表ping请求回显;类型字段0,编码字段0,代表ping请求应答。

    编码:同上,创建时需指定类型和编码,不指定则填-1。

    方式:CIDR,指定网络网段;防火墙,指定某一防火墙。

    如:允许0.0.0.0/0(所有)的ICMP访问

    ../_images/create_fw_icmp.png
  • 其他协议

    说明:指定其他协议类型

  • ALL TCP/UDP/ICMP

    说明:过滤所有的TCP、UDP、ICMP规则

    方向:入口和出口

    方式:CIDR,指定网络网段;防火墙,指定某一防火墙。

2.删除防火墙规则

删除指定防火墙的规则,可批量删除。

  • 通过Web控制台,点击页面左边导航栏的”安全”模块中的”防火墙”选项。
  • 选中”防火墙名称”,如default,进入default的详情界面。
  • 勾选要删除的防火墙规则,点击”删除”按钮
  • 点击”确定”

6.1.4. 云主机添加防火墙

用户将云主机绑定到对应的防火墙,可实现对云主机的访问控制。

1.添加防火墙
  • 点击页面左边导航栏的“计算”模块中的“云主机”,然后选中云主机,再点上方菜单中的“更多操作”—“加载防火墙”进行启用新防火墙。
../_images/vm_add_fw1.png
  • 点击”关闭”按钮将状态置为”启用”,进行启用新防火墙。
../_images/vm_add_fw2.png
2.检测防火墙规则是否生效,添加新的防火墙规则

打开云主机控制台,检测防火墙规则是否生效。

如通过ping外部网络:firewall_test中,有一条默认规则是允许云主机访问外部网络。

../_images/test_vm_fw1.png

从另外一台云主机中,启动控制台,访问刚才新建的云主机,发现无法访问,是由于防火墙中没有这条规则,外部目标无法访问。

../_images/vm_access_vm1.png
添加外部网络可以访问的规则,如下所示:
  • 通过Web控制台,点击页面左边导航栏的”安全”模块中的”防火墙”选项。
  • 点击防火墙名称”firewall_test”。
  • 添加规则。
../_images/firewall_add_rule.png
  • 添加规则之后,可以看到firewall_test中多了一条规则,允许从目标default的ICMP访问:
../_images/firewall_add_rule1.png

再来从另外一台主机来访问,发现可以ping通这台主机了。

../_images/vm_access_vm2.png

说明:云主机的防火墙也可以在云主机的界面进行操作,可见下一章节

6.1.5. 云主机删除防火墙

删除云主机加入的防火墙。

  • 通过Web控制台,点击页面左边导航栏的“计算”模块中的“云主机”。
  • 点击”云主机名称”,点击”更多操作”中的”加载防火墙”
../_images/vm_del_fw1.png
  • 选择需要关闭的防火墙名称,如firewall_test。点击”启用”按钮将状态置为”关闭”。
  • 点击确定
../_images/vm_del_fw2.png