更新时间:2024-09-25 GMT+08:00
SNAT防护概述
背景信息
云防火墙标准版实现公网IP之间的防护,例如通过NAT网关实现多个VPC/子网使用公网IP对外发起访问的场景,云防火墙专业版提供更细粒度的访问控制,例如使用私网IP对公网发起访问的场景。
本文介绍如何配置云防火墙专业版实现SNAT场景下私网IP对公网发起访问的防护。
约束条件
- 仅“专业版”支持私网IP的访问控制。
- 云防火墙当前默认支持标准私网网段,如需开通非标网段通信,请提交工单申请。
SNAT防护组网图
请求流量和响应流量为同一个路径。
配置建议
- 建议为NAT网关创建独立VPC不用于云服务器等实例网络配置,避免影响后续的访问控制。
- 在前期网络规划复杂甚至不合理的情况下(例如存在VPC网段重叠、NAT网关已有复杂配置、已通过VPC-Peering配置东西向通信等场景下),请充分评估网络互连、环路、路由冲突等风险。
- 因涉及组件多,不建议直接将现网业务导入,可先创建测试机,并在业务VPC路由表中配置目的地址路由,利用业务VPC中的测试机验证整个业务流是否走通及配置的规则是否有效,再对现网业务进行切流。
- 使用云防火墙后,避免第一时间配置拦截规则。建议首先验证流量接入防火墙后业务是否正常,逐步增加规则,并及时验证功能,一旦发现有问题,需及时关闭防护,避免现网业务受损。
- 对于SNAT EIP,外到内无法主动访问,内到外的访问控制规则使用的是互联网边界防护的能力,建议不在“弹性公网IP管理”页面中对SNAT所绑定的EIP开启防护,避免规则和日志混乱。
配置流程
- 将VPC1和VPC-NAT接入企业路由器中
- 配置NAT网关
- 配置VPC1路由表
- (可选)使用业务VPC下的测试机访问外网测试网络连通性,正常访问则证明NAT配置成功。
- 开启VPC间防火墙防护,请参见开启VPC间防火墙。
- (可选)再次使用业务VPC下测试机进行网络连通性测试,查看防火墙流量日志中有响应记录,则证明防火墙引流成功。查询流量日志请参见流量日志。
- 在防火墙上配置NAT防护规则。
- (可选)使用测试机,访问IP或域名,查看访问控制日志是否有命中该条规则的日志,有则证明防护规则生效,查询访问控制日志请参见访问控制日志。
- 在验证通过后,逐步切换类生产/现网业务到云防火墙。
图1 SNAT防护配置流程