华为技术支持通道安全方案
如涉及华为技术人员场景,需要单独部署华为技术人员专用堡垒机,保障运维通道安全,方案详见图1 华为技术支持通道安全方案。
该方案与企业内部堡垒机对比有如下几点区别:
- 华为专用堡垒机需配置双网卡,分别属于PRD管理区与DEV管理区。
- 华为专用堡垒机需配置一个EIP,以便华为技术人员接入。
由于华为专用堡垒机需Internet可访问,EIP绑定的网卡所属的子网需增加网络ACL入站策略,出站策略无需变动,放通Internet对专用堡垒的访问。
以EIP网卡属于DEV-管理区子网为例,增加如下入站ACL策略:
本节中提到的IP地址及端口号仅为示例。如有特殊情况,需新增临时策略放通其它源IP。
表1 网络ACL“NACL-DEV-MGMT”入方向 规则 #
源 IP
协议
目的端口
允许/拒绝
说明
对华为技术人员
2.2.2.0/24
TCP
8443
允许
允许华为技术支持人员(固定源IP范围)中的管理员访问专用堡垒机。