配置VPC边界防火墙

应用场景

VPC边界防火墙能够检测和统计VPC间的通信流量数据，帮助您发现异常流量。

约束条件

• 仅“专业版”支持VPC边界防火墙。
• 依赖企业路由器（Enterprise Router, ER）服务引流。
• 仅支持防护当前账号所属企业项目下的VPC。
• 如果您存在私用公网(即使用10.0.0.0/8、 172.16.0.0/12、192.168.0.0/16 以及运营商级NAT保留网段100.64.0.0/10 以外的公网网段作为私网地址段)的情况，请您提交工单进行私网网段扩容，否则云防火墙可能无法正常转发您VPC间的流量。

适用版本

新版VPC边界防火墙

判断方法：

通过创建VPC边界防火墙的界面区分，界面如图 VPC边界防火墙（新版）所示为新版VPC边界防火墙，界面如图 创建VPC间防火墙（旧版）所示为旧版VPC边界防火墙。

图1 VPC边界防火墙（新版）

图2 创建VPC边界防火墙（旧版）

配置原理

您需要按以下步骤操作：

1. 创建防火墙（以命名vpc-cfw-er为例）并关联子网，请参见创建防火墙。
2. 如您新创建了企业路由器，请参见配置企业路由器（新创建企业路由器），分解操作如下：
   1. 配置所有VPC（包括防火墙VPC和需要互联的VPC）的路由转向企业路由器，请参见3 将路由转向企业路由器。
   2. 创建所有VPC（包括防火墙VPC和需要互联的VPC）的连接，请参见5 添加连接。
   3. 创建两个路由表(以er-RT1和er-RT2为例)，请参见6 创建两个路由表。
   4. 配置关联路由表er-RT1将流量从VPC传输到云防火墙，请参见7 配置路由表er-RT1。

      配置传播路由表er-RT2将流量从云防火墙传输到VPC，请参见8 配置路由表er-RT2。

   5. 开启防护前，需验证流量只通过企业路由器时正常通信，请参见配置验证方法。
3. 如您企业路由器已产生流量，请参见配置企业路由器（已有企业路由器），分解操作如下：
   1. 创建防火墙VPC(vpc-cfw-er)的连接，请参见4. 添加防火墙连接。
   2. 从默认路由表(er-RT1)中删除自动生成的防火墙VPC(vpc-cfw-er)的关联和传播功能，请参见删除关联和传播。
   3. 创建一个新的路由表(er-RT2)，并配置关联和传播功能，请参见6. 创建路由表er-RT2和7 配置路由表er-RT2。
   4. 配置默认路由表(er-RT1)的静态路由及删除表中所有的传播，请参见8. 配置默认路由表er-RT1。
   5. （可选）设置传播路由表为er-RT2后，添加新VPC只需添加连接，无需其他配置，设置传播路由表请参见9 更改传播路由表。

图3 流量走势图

创建防火墙

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域。
3. 在左侧导航树中，单击左上方的，选择“安全与合规 > 云防火墙”，进入云防火墙的概览页面。
4. 在左侧导航栏中，选择“资产管理 > VPC边界防火墙管理”，进入“VPC边界防火墙管理”页面。
5. 单击“创建防火墙”，选择企业路由器并配置合适的网段。
   • 企业路由器用于引流，选择时需满足以下限制：
     • 没有与其他防火墙实例关联。
     • 需归属本账号，非共享企业路由器。
     • 需关闭“默认路由表关联”、“默认路由表传播”和“自动接收共享连接”功能。
   • 网段配置后默认创建InspectionVPC将流量转发至云防火墙，并自动分配云墙关联子网，将云防火墙流量转发到企业路由器，选择时需注意以下限制：
     • 创建防火墙后不支持修改网段。
     • 该网段需满足以下条件：
       • 仅支持私网地址段（即在10.0.0.0/8、172.16.0.0/12、192.168.0.0/16范围中），否则可能在SNAT等访问公网的场景下产生路由冲突，
       • 10.6.0.0/16-10.7.0.0/16网段为防火墙保留网段，不可使用。
       • 不可与需要开启防护的私网网段重合，否则会因路由冲突，导致该网段无法防护。

6. 单击“确认”，需等待3-5分钟，完成防火墙创建。

配置企业路由器（新创建企业路由器）

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域。
3. 配置VPC（VPC1、VPC2、vpc-cfw-er）的路由表转向企业路由器。

   在左侧导航栏中，选择“网络 > 虚拟私有云 > 路由表”，进入“路由表”页面，在“名称”列，单击对应VPC的路由表名称。

   单击“添加路由”，参数详情见表 添加路由参数说明。

   表1 添加路由参数说明

   参数	说明	取值样例
   目的地址	目的地址网段。 须知： 不能与已有路由和VPC下子网网段冲突。	xx.xx.xx.0/16
   下一跳类型	在下拉列表中，选择类型“企业路由器”。	企业路由器
   下一跳	选择下一跳资源。 下拉列表中将展示您创建的企业路由器名称。	cfw-er
   描述	路由的描述信息，非必填项。 说明： 描述信息内容不能超过255个字符，且不能包含“<”和“>”。	-

4. 选择“网络 > 企业路由器”，进入“企业路由器”页面。

   在企业路由器中添加VPC连接，操作步骤请参见企业路由器中添加VPC连接。

   

   • 至少需要添加三条VPC连接（CFW及两个防护的VPC）；每增加一个防护的VPC，都需要增加一条连接。

     例如：对防火墙连接命名为cfw-er-auto（创建防火墙后自动生成）;对VPC1连接命名为vpc-1；对VPC2连接命名为vpc-2，需防护VPC3时，增加连接命名为vpc-3。

   • 如需防护其他账号（如账号B）下的VPC，请将当前账号A的企业路由器共享至账号B，共享步骤请参见创建共享，共享成功后在账号B中添加连接，后续配置仍在账号A中进行。
   • 后文示例：对防火墙连接命名为cfw-er-auto（创建防火墙后自动生成）;对VPC1连接命名为vpc-1；对VPC2连接命名为vpc-2。

5. 创建两个路由表er-RT1和er-RT2分别用于连接需防护的VPC和连接防火墙。

   单击企业路由器名称，进入“基本信息”页面，“路由表”页签，进入路由表设置页面，单击“创建路由表”。

   参数详情见表 创建路由表参数说明。

   表2 创建路由表参数说明

   参数名称	参数说明	取值样例
   名称	输入路由表的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（_）、中划线（-）、点（.）组成。	er-RT1/er-RT2
   描述	您可以根据需要在文本框中输入对该路由表的描述信息。	-
   标签	您可以在创建路由表的时候为路由表绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 关于标签更详细的说明，请参见标签概述。	“标签键”：test “标签值”：01

6. 配置关联路由表er-RT1：设置关联和路由功能。
   1. 在路由表设置页面，选择用于连接需防护VPC的路由表(er-RT1)，单击“关联”页签，单击“创建关联”。
      如图 创建关联，参数详情见表 创建关联参数说明。

      图4 创建关联
      

      表3 创建VPC1关联参数说明

      参数名称	参数说明	取值样例
      连接类型	选择连接类型“虚拟私有云（VPC）”。	虚拟私有云（VPC）
      连接	在连接下拉列表中，选择需防护的VPC连接。	vpc-1

      表4 创建VPC2关联参数说明

      参数名称	参数说明	取值样例
      连接类型	选择连接类型“虚拟私有云（VPC）”。	虚拟私有云（VPC）
      连接	在连接下拉列表中，选择需防护的VPC连接。	vpc-2

   2. 创建同一路由表(er-RT1)的路由功能。单击“路由”页签，单击“创建路由”，根据实际数量创建路由功能。

      如图 创建路由，参数详情见表 创建路由参数说明。

      图5 创建路由
      

      表5 创建路由参数说明

      参数名称	参数说明
      目的地址	设置目的地址，设置为：0.0.0.0/0。
      黑洞路由	建议您保持关闭状态；开启后如果路由匹配上黑洞路由的目的地址，则该路由的报文会被丢弃。
      连接类型	选择连接类型“云防火墙（CFW）”。
      下一跳	在下拉列表中，选择自动生成的防火墙连接（cfw-er-auto-attach）。
      描述	（可选）路由的描述信息。

7. 配置传播路由表er-RT2：设置关联和传播功能。
   1. 在路由表设置页面，单击“关联”页签，选择用于连接防火墙的路由表(er-RT2)，单击“创建关联”。

      如图 创建关联，参数详情见表 创建关联参数说明 。

      图6 创建关联
      

      表6 创建关联参数说明

      参数名称	参数说明
      连接类型	选择连接类型“云防火墙（CFW）”。
      连接	在下拉列表中，选择自动生成的防火墙连接（cfw-er-auto-attach）。

   2. 创建同一路由表(er-RT2)的传播功能。单击“传播”页签，单击“创建传播”。

      如图 创建传播，参数详情见表 创建传播参数说明。

      图7 创建传播
      

      表7 创建传播参数说明

      参数名称	参数说明	取值样例
      连接类型	选择连接类型“虚拟私有云（VPC）”。	虚拟私有云（VPC）
      连接	在传播下拉列表中，选择需防护的VPC连接。	vpc-1

      表8 创建传播参数说明

      参数名称	参数说明	取值样例
      连接类型	选择连接类型“虚拟私有云（VPC）”。	虚拟私有云（VPC）
      连接	在传播下拉列表中，选择需防护的VPC连接。	vpc-2

      

      • 传播至少需要添加两条，每增加一个防护的VPC，都需增加一条传播。

        例如：选择VPC1的连接vpc-1以及VPC2的连接vpc-2，需防护VPC3时，增加一条传播，选择连接vpc-3。

      • 创建传播后，会自动将连接的路由信息学习到ER路由表中，生成“传播路由”。同一个路由表中，不同传播路由的目的地址可能相同，连接配置不支持修改和删除。
      • 您也可以手动在路由表中配置连接的静态路由，同一个路由表中，静态路由的目的地址不允许重复，连接配置支持修改和删除。
      • 如果路由表中存在多条路由目的地址相同，则优先级：静态路由 > 传播路由。

配置验证方法

前提条件

• 已完成全部配置步骤。
• 两个VPC中各有一台ECS。

验证方式

VPC中的ECS互相ping，确定流量未经过防火墙时是否正常通信。

故障定位

1. 企业路由器的两个路由表配置是否正确。正确配置方式请参见配置企业路由器操作步骤7和配置企业路由器操作步骤8。
2. 检查VPC1和VPC2的默认路由表是否将路由转向企业路由器。配置方式请参见配置企业路由器操作步骤3。

配置企业路由器（已有企业路由器）

适用场景

用户当前已有企业路由器（例如vpc-cfw-er），产生流量并开启默认路由表(er-RT1)关联和传播功能，不适用标准方案时可执行此方案。

操作步骤

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域。
3. 在左侧导航栏中，选择“网络 > 企业路由器”，进入“企业路由器”页面。
4. 添加防火墙连接。

   单击企业路由器右上方“管理连接”，进入“连接”页面。单击“添加连接”,弹出“添加连接”对话框，填写参数如表 添加连接参数说明所示，添加后自动生成防火墙VPC的关联和传播功能。

   表9 添加连接参数说明

   参数名称	参数说明	取值样例
   名称	输入连接的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（_）、中划线（-）、点（.）组成。	cfw-er-auto
   连接类型	选择虚拟私有云（VPC）。	虚拟私有云（VPC）
   连接资源	虚拟私有云：下拉列表中选择创建的防火墙。 子网：选择云防火墙关联的子网。	虚拟私有云：vpc-cfw-er 子网：cfw-er-1（xx.xx.1.0/24）
   配置连接侧路由	开启：在虚拟私有云的所有路由表中自动添加指向企业路由器的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。 关闭：如果虚拟私有云路由表中的路由与这三个网段冲突，则会添加失败。此时建议您不要开启该选项，并在企业路由器创建完成后，手动在VPC路由表配置路由。	开启
   描述	您可以根据需要在文本框中输入对该路由表的描述信息。	-
   标签	您可以在创建路由表的时候为路由表绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 关于标签更详细的说明，请参见标签概述。	“标签键”：test “标签值”：01

5. 从默认路由表er-RT1中删除防火墙VPC(vpc-cfw-er)的关联和传播。

   选择“路由表 > 关联” ，在防火墙VPC行的“操作”列，单击“删除”，在删除确认框中，单击“是”。

   选择“传播” ，在防火墙VPC行的“操作”列，单击“删除”，在删除确认框中，单击“是”。

6. 创建路由表er-RT2。

   单击页面左上角“创建路由表”。

   参数详情见表 创建路由表参数说明。

   表10 创建路由表参数说明

   参数名称	参数说明	取值样例
   名称	输入路由表的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（_）、中划线（-）、点（.）组成。	er-RT2
   描述	您可以根据需要在文本框中输入对该路由表的描述信息。	-
   标签	您可以在创建路由表的时候为路由表绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 关于标签更详细的说明，请参见标签概述。	“标签键”：test “标签值”：01

7. 配置路由表er-RT2：设置关联和传播功能。
   1. 选择路由表er-RT2，单击“关联”页签，单击“创建关联”。

      如图 创建关联，参数详情见表 创建关联参数说明 。

      图8 创建关联
      

      表11 创建关联参数说明

      参数名称	参数说明	取值样例
      连接类型	选择连接类型“云防火墙（CFW）”。	虚拟私有云（VPC）
      关联	在连接下拉列表中，选择防火墙VPC的连接。	cfw-er-auto

   2. 创建同一路由表(er-RT2)的传播功能。单击“传播”页签，单击“创建传播”。

      如图 创建传播，参数详情见表 创建传播参数说明。

      图9 创建传播
      

      表12 创建传播参数说明

      参数名称	参数说明	取值样例
      连接类型	选择连接类型“虚拟私有云（VPC）”。	虚拟私有云（VPC）
      连接	在传播下拉列表中，选择需防护的VPC连接。	vpc-1

      表13 创建传播参数说明

      参数名称	参数说明	取值样例
      连接类型	选择连接类型“虚拟私有云（VPC）”。	虚拟私有云（VPC）
      连接	在传播下拉列表中，选择需防护的VPC连接。	vpc-2

      

      • 传播至少需要添加两条，每增加一个防护的VPC，都需增加一条传播。

        例如：选择VPC1的连接vpc-1以及VPC2的连接vpc-2，需防护VPC3时，增加一条传播，选择连接vpc-3。

      • 创建传播后，会自动将连接的路由信息学习到ER路由表中，生成“传播路由”。同一个路由表中，不同传播路由的目的地址可能相同，连接配置不支持修改和删除。
      • 您也可以手动在路由表中配置连接的静态路由，同一个路由表中，静态路由的目的地址不允许重复，连接配置支持修改和删除。
      • 如果路由表中存在多条路由目的地址相同，则优先级：静态路由 > 传播路由。

8. 配置默认路由表er-RT1：
   1. 添加静态路由。选择路由表er-RT1，单击“路由”页签，单击“创建路由”，填写信息如下：
      • 目的地址：0.0.0.0/0
      • 连接类型：“云防火墙（CFW）”
      • 下一跳：选择防火墙VPC的连接（cfw-er-auto）
        图10 添加静态路由
        
   2. 删除路由表er-RT1中的传播。

      单击“传播”页签，在“操作”列中，单击“删除”，在删除确认框中，单击“是”。

      

      需删除路由表er-RT1中所有传播。

9. 可选操作。建议您将当前企业路由器的传播路由表改为新创建的路由表（er-RT2），后续添加新VPC时，仅需添加连接，无需进行其他操作。
   返回或进入“企业路由器”，单击“更多 > 修改配置”，选择传播路由表为er-RT2。如图11所示。

   图11 修改配置
   

   

   如需防护其他账号（如账号B）下的VPC，请将当前账号A的企业路由器共享至账号B，共享步骤请参见创建共享，共享成功后在账号B中添加连接即可完成配置。