在日常运维场景中,经常会遇到软件实施人员在调试时,为省事方便直接关闭系统防火墙情况。另一种情况则是需要统一批量调整系统防火墙策略,如果服务器数量较多,一台台修改,这时可就犯难了。
如果有在用统一端点安全管理系统 ,俗称EDR,一般都有微隔离策略,下面以深信服的EDR为例简要介绍学习配置。
通过微隔离策略,可针对服务器/终端必要的业务端口进行放通、非必要的端口进行禁止,同时支持流量状态可视化,高效提升客户业务安全性。
一.业务梳理
梳理客户业务系统及业务系统间的访问关系,为后续的微隔离策略做准备,如下表。
对象
业务系统
数据库(Server1)
财务系统(Server2)
OA系统(Server3)
人事系统(Server4、Server5)
IP组
办公终端(x.x.x.x)
办公服务器(y.y.y.y)
服务
SMB(135\136\137\139\445)
HTTP(80)
访问关系
访问关系
1、SMB服务拒绝
源:办公终端 目的:业务系统服务器 服务:SMB 动作:拒绝
2、HTTP服务允许
源:办公终端 目的:业务系统服务器 服务:HTTP 动作:允许
二.创建对象
根据第上述梳理的业务系统,定义业务系统/IP组/服务等对象,为微隔离策略调用。
业务系统创建
通过定义业务系统分类,可将多个服务器终端纳归到统一的业务系统分类中,便于微隔离策略源调用及流量状态展示,配置流程如下:
1.在[微隔离/业务系统]页面,点击<新增>,进行业务系统名称及服务器终端选择,配置界面如下图所示。
• 说明:
一台服务器终端只能加入一个业务系统;
终端仅支持选择服务器终端。
2.创建完成后,可在业务系统页面,查看已创建的业务系统分类及对应分类下的服务器终端信息,可进行角色关联、状态查看等操作。
角色创建
通过角色属性,可定义服务器终端在业务系统分组中的角色,可理解为该服务器终端所提供的服务类型,平台内置了WEB、数据库、FTP、SLB、邮件、消息队列、WebSphere、WebLogic等角色以及对应的角色特征,角色新增配置流程如下:
1.在[微隔离/角色]页面,点击<新增>,在弹出的页面中进行角色名、描述和角色特征编辑,如下图所示。
其中角色特征支持进程名称或端口信息,要求一行一个特征。
2.完成信息编辑后,点击<确定>即完成新角色创建,可在业务系统页面对服务器终端角色进行指定,方便微隔离策略的调用与流量状态显示。
IP组创建
通过IP组可划分内网或互联网的IP到对应的IP组中,平台内置了默认内网IP组包括10.0.0.0/8、172.16.0.0/12、192.168.0.0/16,默认互联网IP组包括0.0.0.0-255.255.255.255,策略通过从上到下进行匹配,方便微隔离策略的调用,IP组创建流程如下:
1.在[微隔离/IP组]页面,点击<新增>,在弹出页面进行IP组添加操作,配置页面如下图所示。
其中地址范围支持单IP、IP范围和子网。
2.点击<确定>进行提交,即完成IP组创建,在IP组页面可对已创建的IP组进行上移、下移等操作,实现策略的从上到下匹配。
服务创建
通过服务属性可定义服务端口,用于微隔离策略调用,内置服务包括35种,可自定义添加,配置流程如下:
• 说明:
自定义服务端口不能与已有所使用端口不能重复。
- 在[微隔离/服务]页面,点击<新增>进行服务添加,如下图所示。
其中流量类型包括其他流量、业务流量及运维流量,用于流量状态的展示。
-
配置完成后,点击<确定>进行提交即可。
三.策略配置
1.配置微隔离访问控制策略
在微隔离策略页面,点击<新增>,进行微隔离策略配置,配置界面如下图所示。
其中:
• **源:**访问目标服务的源,可以选择业务系统、角色、服务器、IP组;
• **目的:**被访问的目标终端;
• **服务:**目标终端的服务端口;
• **动作:**微隔离策略的动作可选择允许或拒绝。
• 说明:
源和目的可以点击
进行互换。
2.启用微隔离并开启流量上报。
打开[微隔离设置],如下图。启用微隔离和流量上报。
其中:
• 微隔离:勾选即开启微隔离功能,关闭后所有业务系统的微隔离策略将失效;
• 流量上报:开启后可在[流量隔离状态]中展示流量访问情况,关闭后客户端将禁止流量上报,影响[流量隔离状态]的展示。
四.流量查看
微隔离支持流量状态可视化,支持查看终端系统的流量访问情况,可以显示互联网出口、内网互访及已放通和未放通的流量访问情况,同时支持通过过滤策略进行筛选查看,界面如下图所示。
在[过滤流量]中过滤选项说明如下:
• 红色流量线:表示未放通的流量;
• 绿色流量线:表示已放通的流量;
• 业务之间流量:业务系统之间的流量访问情况;
• **业务内部流量:**业务系统内部的流量访问情况。
