一、我们为什么要配置防火墙策略

行云管家作为一个一站式的云计算管理平台,我们希望用户能够使用行云管家来完成所有的日常运维工作。同时,作为一个以堡垒机为核心特性的产品,本身也要求目标设备不能够被其它终端直接访问,而应该以行云管家为跳板机的方式进行访问。这样可以避免团队中的一些成员直接访问目标设备,从而绕过行云管家的审计。

行云管家在部署模型上,不会改变现有网络结构,侵入性小。我们需要限制对目标设备的访问时,就需要通过防火墙策略来实现访问隔离。

二、如何配置防火墙(Proxy模式)

在网络菜单页面,可以查看当前云账户网络用的是什么网络模式(SaaS版的话都是Proxy模式)

在规划防火墙设置策略之前,我们需要先设定以下准则,所有的防火墙策略均在以下前提下来制定:

  • 任何人都不允许直接访问目标主机资源,必须通过行云管家来访问主机资源;

  • 目标主机也不会直接与行云管家门户进行通信,而是以Proxy作为代理与行云管家门户进行通信;

  • 由于操作系统和防火墙类型过多,无法一一举例,本文中的仅以防火墙规则来进行说明,而不做具体的设置说明;

  • 本文仅讨论如何通过防火墙来设置网络策略,如果您需要通过云主机的安全组来实现网络隔离,请阅读:安全组最佳实践

2.1、行云管家服务器列表(SaaS)

在设置防火墙之前,您还需要了解行云管家的服务器IP列表:

会话中转地址 IP地址 域名
深圳 120.79.177.136 sztrans-6.cloudbility.com
北京 39.106.168.240 bjtrans-7.cloudbility.com
杭州 47.99.75.202 hztrans-10.cloudbility.com
成都 47.108.133.238 cdtrans-13.cloudbility.com
香港 47.75.121.140 hktrans-9.cloudbility.com
海外(美西) 47.88.93.102 uswest-trans.cloudbility.com

温馨提示:以上IP指的是行云管家SaaS环境下的服务器IP列表,如果您使用的是行云管家私有部署,那么IP就是您部署行云管家的服务器IP;

从行云管家部署模型上,我们可以看到,一个完整的主机访问过程包含两部分:Proxy通过公网访问行云管家、Proxy通过内网访问目标主机。下面分别介绍公网和内网的防火墙策略设置。

2.2、公网访问

在公网方面,行云管家独创的内网访问服务是由Proxy来主动反向连接行云管家门户,我们只需要确保所有的Proxy能够访问到行云管家服务器的【服务端口】即可,无需专门为行云管家开放公网入方向的端口。因此,您大可以根据业务需要,将所有不必要的公网入端口关闭。

所谓行云管家的服务端口,在行云管家SaaS版中指:行云管家服务器的80(Web服务)和443(Https服务)端口,在行云管家私有部署,是指【访问端口】,默认是80;

如果您的办公网络中,公网出方向的访问能力是不受限的,您无需做任何设置。但如果您的办公网络有相关限制,请在防火墙规则中增加策略:

  • 允许Proxy宿主机访问行云管家所有服务器的服务端口```

2.3、内网访问

内网访问策略,我们需要切断除Proxy之外的所有终端来访问目标主机的【远程端口】(远程端口包括:22(SSH协议)、3389(RDP协议)以及其它需要用到的协议端口),因此请增加策略:

  • 禁止除Proxy宿主机之外的任何主机通过内网访问目标主机的远程端口```

最后,由于行云管家Agent安装时,目标主机需要访问到Proxy宿主机的8326端口,因此请增加策略:

  • 允许目标主机访问Proxy(或内网访问助手)宿主机的8326端口```

三、如何配置防火墙(直连模式)

在网络菜单页面,可以查看当前云账户网络用的是什么网络模式,私有部署里,可以在网络菜单中对该云账户选择Proxy模式或直连模式,其中直连模式适用于安装行云管家的门户服务器和被管理的局域网主机处于同一局域网的情况。

注意:SaaS版的话都是Proxy模式,没有直连模式;

在规划防火墙设置策略之前,我们需要先设定以下准则,所有的防火墙策略均在以下前提下来制定:

  • 任何人都不允许直接访问目标主机资源,必须通过行云管家来访问主机资源;

  • 行云管家门户与目标主机进行通信;

  • 由于操作系统和防火墙类型过多,无法一一举例,本文中的仅以防火墙规则来进行说明,而不做具体的设置说明;

  • 本文仅讨论如何通过防火墙来设置网络策略,如果您需要通过云主机的安全组来实现网络隔离,请阅读:安全组最佳实践

访问设置

在行云管家直连模式中,行云管家门户通过内网访问目标主机。

内网访问策略,我们需要切断除行云管家门户之外的所有终端来访问目标主机的【远程端口】(远程端口包括:22(SSH协议)、3389(RDP协议)以及其它需要用到的协议端口),因此请增加策略:

  • 禁止除行云管家门户之外的任何主机通过内网访问目标主机的远程端口```

最后,由于行云管家Agent安装时,目标主机需要访问到行云管家门户的门户端口,因此请增加策略:

  • 允许目标主机访问行云管家门户的门户端口```