配置VPC边界防火墙
应用场景
VPC边界防火墙能够检测和统计VPC间的通信流量数据,帮助您发现异常流量。
约束条件
- 仅“专业版”支持VPC边界防火墙。
- 依赖企业路由器(Enterprise Router, ER)服务引流。
- 仅支持防护当前账号所属企业项目下的VPC。
- 如果您存在私用公网(即使用10.0.0.0/8、 172.16.0.0/12、192.168.0.0/16 以及运营商级NAT保留网段100.64.0.0/10 以外的公网网段作为私网地址段)的情况,请您提交工单进行私网网段扩容,否则云防火墙可能无法正常转发您VPC间的流量。
适用版本
新版VPC边界防火墙
判断方法:
配置原理
您需要按以下步骤操作:
- 创建防火墙(以命名vpc-cfw-er为例)并关联子网,请参见创建防火墙。
- 如您新创建了企业路由器,请参见配置企业路由器(新创建企业路由器),分解操作如下:
- 配置所有VPC(包括防火墙VPC和需要互联的VPC)的路由转向企业路由器,请参见3 将路由转向企业路由器。
- 创建所有VPC(包括防火墙VPC和需要互联的VPC)的连接,请参见5 添加连接。
- 创建两个路由表(以er-RT1和er-RT2为例),请参见6 创建两个路由表。
- 配置关联路由表er-RT1将流量从VPC传输到云防火墙,请参见7 配置路由表er-RT1。
配置传播路由表er-RT2将流量从云防火墙传输到VPC,请参见8 配置路由表er-RT2。
- 开启防护前,需验证流量只通过企业路由器时正常通信,请参见配置验证方法。
- 如您企业路由器已产生流量,请参见配置企业路由器(已有企业路由器),分解操作如下:
- 创建防火墙VPC(vpc-cfw-er)的连接,请参见4. 添加防火墙连接。
- 从默认路由表(er-RT1)中删除自动生成的防火墙VPC(vpc-cfw-er)的关联和传播功能,请参见删除关联和传播。
- 创建一个新的路由表(er-RT2),并配置关联和传播功能,请参见6. 创建路由表er-RT2和7 配置路由表er-RT2。
- 配置默认路由表(er-RT1)的静态路由及删除表中所有的传播,请参见8. 配置默认路由表er-RT1。
- (可选)设置传播路由表为er-RT2后,添加新VPC只需添加连接,无需其他配置,设置传播路由表请参见9 更改传播路由表。
创建防火墙
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域。
- 在左侧导航树中,单击左上方的,选择 ,进入云防火墙的概览页面。
- 在左侧导航栏中,选择“VPC边界防火墙管理”页面。 ,进入
- 单击“创建防火墙”,选择企业路由器并配置合适的网段。
- 企业路由器用于引流,选择时需满足以下限制:
- 没有与其他防火墙实例关联。
- 需归属本账号,非共享企业路由器。
- 需关闭“默认路由表关联”、“默认路由表传播”和“自动接收共享连接”功能。
- 网段配置后默认创建InspectionVPC将流量转发至云防火墙,并自动分配云墙关联子网,将云防火墙流量转发到企业路由器,选择时需注意以下限制:
- 创建防火墙后不支持修改网段。
- 该网段需满足以下条件:
- 仅支持私网地址段(即在10.0.0.0/8、172.16.0.0/12、192.168.0.0/16范围中),否则可能在SNAT等访问公网的场景下产生路由冲突,
- 10.6.0.0/16-10.7.0.0/16网段为防火墙保留网段,不可使用。
- 不可与需要开启防护的私网网段重合,否则会因路由冲突,导致该网段无法防护。
- 企业路由器用于引流,选择时需满足以下限制:
- 单击“确认”,需等待3-5分钟,完成防火墙创建。
配置企业路由器(新创建企业路由器)
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域。
- 配置VPC(VPC1、VPC2、vpc-cfw-er)的路由表转向企业路由器。
在左侧导航栏中,选择“路由表”页面,在“名称”列,单击对应VPC的路由表名称。
,进入单击“添加路由”,参数详情见表 添加路由参数说明。
- 选择“企业路由器”页面。 ,进入
在企业路由器中添加VPC连接,操作步骤请参见企业路由器中添加VPC连接。
- 至少需要添加三条VPC连接(CFW及两个防护的VPC);每增加一个防护的VPC,都需要增加一条连接。
例如:对防火墙连接命名为cfw-er-auto(创建防火墙后自动生成);对VPC1连接命名为vpc-1;对VPC2连接命名为vpc-2,需防护VPC3时,增加连接命名为vpc-3。
- 如需防护其他账号(如账号B)下的VPC,请将当前账号A的企业路由器共享至账号B,共享步骤请参见创建共享,共享成功后在账号B中添加连接,后续配置仍在账号A中进行。
- 后文示例:对防火墙连接命名为cfw-er-auto(创建防火墙后自动生成);对VPC1连接命名为vpc-1;对VPC2连接命名为vpc-2。
- 至少需要添加三条VPC连接(CFW及两个防护的VPC);每增加一个防护的VPC,都需要增加一条连接。
- 创建两个路由表er-RT1和er-RT2分别用于连接需防护的VPC和连接防火墙。
单击企业路由器名称,进入“基本信息”页面,“路由表”页签,进入路由表设置页面,单击“创建路由表”。
参数详情见表 创建路由表参数说明。
表2 创建路由表参数说明 参数名称
参数说明
取值样例
名称
输入路由表的名称。要求如下:
- 长度范围为1~64位。
- 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。
er-RT1/er-RT2
描述
您可以根据需要在文本框中输入对该路由表的描述信息。
-
标签
您可以在创建路由表的时候为路由表绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。
关于标签更详细的说明,请参见标签概述。
“标签键”:test
“标签值”:01
- 配置关联路由表er-RT1:设置关联和路由功能。
- 在路由表设置页面,选择用于连接需防护VPC的路由表(er-RT1),单击“关联”页签,单击“创建关联”。
如图 创建关联,参数详情见表 创建关联参数说明。
表4 创建VPC2关联参数说明 参数名称
参数说明
取值样例
连接类型
选择连接类型“虚拟私有云(VPC)”。
虚拟私有云(VPC)
连接
在连接下拉列表中,选择需防护的VPC连接。
vpc-2
- 创建同一路由表(er-RT1)的路由功能。单击“路由”页签,单击“创建路由”,根据实际数量创建路由功能。
如图 创建路由,参数详情见表 创建路由参数说明。
- 在路由表设置页面,选择用于连接需防护VPC的路由表(er-RT1),单击“关联”页签,单击“创建关联”。
- 配置传播路由表er-RT2:设置关联和传播功能。
- 在路由表设置页面,单击“关联”页签,选择用于连接防火墙的路由表(er-RT2),单击“创建关联”。
如图 创建关联,参数详情见表 创建关联参数说明 。
- 创建同一路由表(er-RT2)的传播功能。单击“传播”页签,单击“创建传播”。
如图 创建传播,参数详情见表 创建传播参数说明。
表8 创建传播参数说明 参数名称
参数说明
取值样例
连接类型
选择连接类型“虚拟私有云(VPC)”。
虚拟私有云(VPC)
连接
在传播下拉列表中,选择需防护的VPC连接。
vpc-2
- 在路由表设置页面,单击“关联”页签,选择用于连接防火墙的路由表(er-RT2),单击“创建关联”。
配置验证方法
前提条件
- 已完成全部配置步骤。
- 两个VPC中各有一台ECS。
验证方式
VPC中的ECS互相ping,确定流量未经过防火墙时是否正常通信。
故障定位
- 企业路由器的两个路由表配置是否正确。正确配置方式请参见配置企业路由器操作步骤7和配置企业路由器操作步骤8。
- 检查VPC1和VPC2的默认路由表是否将路由转向企业路由器。配置方式请参见配置企业路由器操作步骤3。
配置企业路由器(已有企业路由器)
适用场景
用户当前已有企业路由器(例如vpc-cfw-er),产生流量并开启默认路由表(er-RT1)关联和传播功能,不适用标准方案时可执行此方案。
操作步骤
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域。
- 在左侧导航栏中,选择“企业路由器”页面。 ,进入
- 添加防火墙连接。
单击企业路由器右上方“管理连接”,进入“连接”页面。单击“添加连接”,弹出“添加连接”对话框,填写参数如表 添加连接参数说明所示,添加后自动生成防火墙VPC的关联和传播功能。
表9 添加连接参数说明 参数名称
参数说明
取值样例
名称
输入连接的名称。要求如下:
- 长度范围为1~64位。
- 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。
cfw-er-auto
连接类型
选择虚拟私有云(VPC)。
虚拟私有云(VPC)
连接资源
- 虚拟私有云:下拉列表中选择创建的防火墙。
- 子网:选择云防火墙关联的子网。
虚拟私有云:vpc-cfw-er
子网:cfw-er-1(xx.xx.1.0/24)
配置连接侧路由
- 开启:在虚拟私有云的所有路由表中自动添加指向企业路由器的路由,目的地址固定为10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。
- 关闭:如果虚拟私有云路由表中的路由与这三个网段冲突,则会添加失败。此时建议您不要开启该选项,并在企业路由器创建完成后,手动在VPC路由表配置路由。
开启
描述
您可以根据需要在文本框中输入对该路由表的描述信息。
-
标签
您可以在创建路由表的时候为路由表绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。
关于标签更详细的说明,请参见标签概述。
“标签键”:test
“标签值”:01
- 从默认路由表er-RT1中删除防火墙VPC(vpc-cfw-er)的关联和传播。
选择“操作”列,单击“删除”,在删除确认框中,单击“是”。
,在防火墙VPC行的选择“操作”列,单击“删除”,在删除确认框中,单击“是”。
,在防火墙VPC行的 - 创建路由表er-RT2。
单击页面左上角“创建路由表”。
参数详情见表 创建路由表参数说明。
表10 创建路由表参数说明 参数名称
参数说明
取值样例
名称
输入路由表的名称。要求如下:
- 长度范围为1~64位。
- 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。
er-RT2
描述
您可以根据需要在文本框中输入对该路由表的描述信息。
-
标签
您可以在创建路由表的时候为路由表绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。
关于标签更详细的说明,请参见标签概述。
“标签键”:test
“标签值”:01
- 配置路由表er-RT2:设置关联和传播功能。
- 选择路由表er-RT2,单击“关联”页签,单击“创建关联”。
如图 创建关联,参数详情见表 创建关联参数说明 。
- 创建同一路由表(er-RT2)的传播功能。单击“传播”页签,单击“创建传播”。
如图 创建传播,参数详情见表 创建传播参数说明。
表13 创建传播参数说明 参数名称
参数说明
取值样例
连接类型
选择连接类型“虚拟私有云(VPC)”。
虚拟私有云(VPC)
连接
在传播下拉列表中,选择需防护的VPC连接。
vpc-2
- 选择路由表er-RT2,单击“关联”页签,单击“创建关联”。
- 配置默认路由表er-RT1:
- 可选操作。建议您将当前企业路由器的传播路由表改为新创建的路由表(er-RT2),后续添加新VPC时,仅需添加连接,无需进行其他操作。 ,单击