主机
安全组与防火墙
防火墙配置参考

我们为什么要配置防火墙策略

行云管家作为一个一站式的云计算管理平台,我们希望用户能够使用行云管家来完成所有的日常运维工作。同时,作为一个以堡垒机为核心特性的产品,本身也要求目标设备不能够被其它终端直接访问,而应该以行云管家为跳板机的方式进行访问。这样可以避免团队中的一些成员直接访问目标设备,从而绕过行云管家的审计。

行云管家在部署模型上,不会改变现有网络结构,侵入性小。我们需要限制对目标设备的访问时,就需要通过防火墙策略来实现访问隔离。

如何配置防火墙

在规划防火墙设置策略之前,我们需要先设定以下准则,所有的防火墙策略均在以下前提下来制定:

  • 任何人都不允许直接访问目标主机资源,必须登录到行云管家门户来访问主机资源;

  • 目标主机也不会直接与行云管家门户进行通信,而是以Proxy作为代理与行云管家门户进行通信;

  • 由于操作系统和防火墙类型过多,无法一一举例,本文中的仅以防火墙规则来进行说明,而不做具体的设置说明;

  • 本文仅讨论如何通过防火墙来设置网络策略,如果您需要通过云主机的安全组来实现网络隔离,请阅读:安全组最佳实践

行云管家服务器列表

在设置防火墙之前,您还需要了解行云管家的服务器IP列表(截止2019年4月22日):

服务器所在区域 IP地址
深圳 120.79.177.136
北京 39.106.168.240
杭州 47.99.75.202
成都 118.24.11.200
香港 47.75.121.140
海外(美西) 47.88.93.102
海外(欧洲) 47.254.178.31

温馨提示:以上IP指的是行云管家SaaS环境下的服务器IP列表,如果您使用的是行云管家私有部署版,那么IP就是您部署行云管家的服务器IP;

从行云管家部署模型上,我们可以看到,一个完整的主机访问过程包含两部分:Proxy通过公网访问行云管家、Proxy通过内网访问目标主机。下面分别介绍公网和内网的防火墙策略设置。

公网访问

在公网方面,行云管家独创的内网访问服务是由Proxy来主动反向连接行云管家门户,我们只需要确保所有的Proxy能够访问到行云管家服务器的【服务端口】即可,无需专门为行云管家开放公网入方向的端口。因此,您大可以根据业务需要,将所有不必要的公网入端口关闭。

所谓行云管家的服务端口,在行云管家SaaS版中指:行云管家服务器的80(Web服务)和443(Https服务)端口,在行云管家私有部署版,是指【访问端口】,默认是80;

如果您的办公网络中,公网出方向的访问能力是不受限的,您无需做任何设置。但如果您的办公网络有相关限制,请在防火墙规则中增加策略:

允许Proxy宿主机访问行云管家所有服务器的服务端口

内网访问

内网访问策略,我们需要切断除Proxy之外的所有终端来访问目标主机的【远程端口】(远程端口包括:22(SSH协议)、3389(RDP协议)以及其它需要用到的协议端口),因此请增加策略:

禁止除Proxy宿主机之外的任何主机通过内网访问目标主机的远程端口

最后,由于行云管家Agent安装时,目标主机需要访问到Proxy宿主机的8326端口,因此请增加策略:

允许目标主机访问Proxy(或内网访问助手)宿主机的8326端口