快速入门
下载
聚焦模式
字号
本文为您介绍防火墙管理(Firewall Manager,FWM)的快速使用方法。
防火墙管理支持两种使用场景:
单账号场景:在单一腾讯云账号下管理云防火墙各类边界策略。
多账号场景:作为集团组织的管理员或委派管理员,统一纳管多个成员账号的策略。
下文操作步骤适用于两种场景,差异处会以多账号场景提示标出。
准备工作
1. 防火墙管理需要用户授权后才可使用,具体授权步骤详见 欢迎页。
2. 多账号场景还需完成以下前置工作:
已在腾讯云集团组织中邀请目标成员账号加入组织,且成员账号已接受邀请。
由集团管理员或委派管理员账号完成防火墙管理授权。
操作步骤
(可选)配置多账号纳管
说明:
单账号场景请跳过本步骤,直接从步骤一开始。
本步骤用于完成委派管理员设置、账号组划分、成员账号纳管以及(可选)规格共享角色配置。
1. 使用管理员身份账号登录 防火墙管理控制台,在左侧导航栏中,选择成员管理。
2. 设置委派管理员(可选):集团管理员可将日常防火墙管理工作下放给一个成员账号作为委派管理员。
2.1 在成员列表页顶部单击设置委派管理员,跳转至 集团账号管理控制台。
2.2 设置委派管理员具体操作详见 管理委派管理员账号。
2.3 在成员列表中定位目标账号,在身份列可看到变更后的结果。
3. 创建账号组:按不同维度对成员账号进行分组,后续可按账号组一次性下发规则。
3.1 在成员列表上方单击账号组管理进入账号组管理面板。
3.2 在账号组管理面板,单击新增账号组。
3.3 填写账号组名称,单击确定。
3.4 在成员列表中定位目标账号,单击所属账号组列的
3.5 在下拉列表中选择上一步创建的账号组,单击确定。
4. 纳管成员账号:单击成员列表云防火墙纳管列的开关,单击确定,将组织内待纳管的成员账号加入纳管列表。纳管后,该账号下的云防火墙策略即可由管理员或委派管理员统一管理。
5. 设置云防火墙共享角色(可选):若您希望由 1 个共享者账号集中开通云防火墙规格,其他使用者账号共享使用该规格,可在共享角色页签下分别设置共享者与使用者。该能力依赖云防火墙规格管理,详细说明可参见 规格管理。
5.1 使用管理员或委派管理员身份账号登录 防火墙管理控制台,在左侧导航栏中,选择成员管理。
5.2 在成员列表中定位目标账号,单击云防火墙共享角色列的
步骤一:查看安全态势概览
1. 登录 防火墙管理控制台,在左侧导航中,选择概览。
2. 在策略管理区域,查看各安全产品(云防火墙-企业安全组、互联网边界、NAT 边界、VPC 边界)下的规则组数量与最近策略变更情况。
说明:
多账号场景:本区域数据为所有纳管账号的汇总。
3. 在纳管区域,查看已纳管账号数量及各安全产品当前的配额使用情况。
说明:
多账号场景:还可查看账号组数量,确认账号纳管搭建符合预期。
4. 在策略分析区域,查看最近一次全量策略体检的结果,包括体检总策略数、有风险策略数、待整改策略数及风险整改率,了解整体策略健康度。
5. 在云防火墙规格信息区域,查看当前账号下云防火墙的版本、规格及到期时间,必要时可单击变更配置或续费。
说明:
多账号场景:此处展示共享者账号的规格信息。
步骤二:创建并下发安全规则
1. 创建规则组
1. 登录 防火墙管理控制台,在左侧导航中,选择规则组。
2. 选择目标安全产品页签(云防火墙-互联网边界规则、NAT 边界规则、VPC 边界规则或企业安全组),单击新建规则组。
3. 在新建规则组页面中,配置规则组名称、描述、规则内容等参数。
说明:
多账号场景:规则组在管理员/委派管理员账号下统一编排,可用于下发至任意纳管账号或账号组。
4. 单击确定。新建的规则组将显示在列表中。
2. 下发规则
1. 登录 防火墙管理控制台,在左侧导航中,选择规则管理。
2. 选择目标安全产品页签,单击新建下发规则。
3. 在新建下发规则页面中,配置相关参数。重点参数说明:
下发账号:
单账号场景:选择本账号。
多账号场景:可选择单个成员账号或账号组。选择账号组后,组内新增成员将自动继承该下发规则,无需重复配置,单击立即下发即可生效。
关联规则组:选择上一步创建的规则组。
4. 参数配置完成后,按以下方式下发:
云防火墙-企业安全组:单击保存并预览变动,预览本次下发将引发的实例规则变化,确认无误后单击立即下发执行下发。也可直接单击立即下发或保存。
云防火墙-互联网边界 / NAT 边界 / VPC 边界:单击立即下发直接执行下发,或单击保存仅保存下发规则,后续在规则管理列表中再行下发。
步骤三:分析并优化存量规则
1. 登录 防火墙管理控制台,在左侧导航中,选择策略分析。
2. 单击开始体检。在弹窗中选择体检产品,单击开始体检。
说明:
多账号场景:还可选择体检账号,可指定单个成员账号或全部纳管账号。
3. 页面将显示"体检中"的加载状态,请耐心等待分析完成。
4. 分析完成后,针对需要处理的风险项,单击去整改。
5. 在待整改风险项详情页面中,您可以选择:
复验并处置:系统实时检测后,提供最新的风险规则列表,支持直接编辑或删除规则进行整改。
忽略:对于确认无需处置的风险,可将其标记为"已忽略"。
反馈:如果您认为检测结果有误,可提交反馈说明。
说明:
多账号场景:如需进入成员账号执行更复杂的操作,可使用附身登录切换至该成员账号继续处置。
步骤四:审计操作日志
1. 登录 防火墙管理控制台,在左侧导航中,选择日志审计。
2. 通过页签切换不同模块的日志:
规则管理:记录下发规则的创建、修改、下发等操作。
规则组:记录规则组的创建、编辑、删除等操作。
策略分析:记录体检、整改、忽略、反馈等操作。
成员管理(仅多账号场景):记录委派管理员设置、账号组变更、成员纳管、共享角色配置等多账号场景相关操作。
3. 系统默认展示近期日志。您可以通过时间范围、操作账号、操作行为等条件进行筛选。
说明:
多账号场景:可按操作账号筛选,快速定位某成员账号下的具体操作。
4. 单击操作列的详情,可查看该条日志的详细信息,如规则变更内容、风险处置详情等。
文档反馈