配置CFW防护规则实现SNAT流量防护
本节介绍配置云防火墙防护规则实现SNAT流量防护的详细操作步骤。
步骤一:将VPC1和VPC-NAT接入企业路由器中
本步骤指导您如何将VPC1和VPC-NAT接入企业路由器。
- 添加VPC连接。
需要添加两条连接,“连接资源”分别选择VPC1和VPC-NAT。
操作步骤请参见企业路由器中添加VPC连接。
- 创建两个路由表。
- 在左侧导航栏中,单击左上方的
,选择,单击“管理路由表”,进入“路由表”页面。 - 创建两个路由表,作为关联路由表和传播路由表分别用于连接需防护的VPC和连接防火墙。
在企业路由器详情页面中,单击“路由表”页签,进入路由表设置页面,单击“创建路由表”,并在弹出的创建路由表框中配置参数信息。
表1 创建路由表参数说明 参数名称
参数说明
名称
输入路由表的名称。
命名规则如下:- 长度范围为1~64位。
- 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。
AS_Path选路策略
可选参数。
- 不配置:表示路由在形成负载分担时,比较AS_Path属性,优选AS_Path长度较短的。AS_Path属性按矢量顺序记录了BGP路由从本地到目的地址所要经过的所有AS编号,AS_Path记录的AS编号越少,证明长度越短。
- 忽略相同长度AS_Path:设置该参数后,路由在形成负载分担时不比较相同长度的AS_Path属性。AS_Path可防止自治系统AS之间发生BGP环路,开启“忽略相同长度AS_Path”选项,可能导致BGP环路。
标签
可选参数。
您可以在创建路由表的时候为路由表绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。
关于标签更详细的说明,请参见标签概述。
描述
可选参数。
您可以根据需要在文本框中输入对该路由表的描述信息。
- 在左侧导航栏中,单击左上方的
- 设置关联路由表。
- 设置关联功能,添加VPC1和VPC-NAT的连接:在路由表设置页面,选择关联路由表,单击“关联”页签,单击“创建关联”。
需要增加两条关联,“连接”分别选择VPC1和VPC-NAT的连接。
表2 创建关联参数说明 参数名称
参数说明
连接类型
选择连接类型:虚拟私有云(VPC)。
连接
在连接下拉列表中,选择VPC连接。
- 添加静态路由,指向防火墙:单击“路由”页签,单击“创建路由”。 图1 创建路由
表3 创建路由参数说明 参数名称
参数说明
目的地址
设置目的地址。
- 0.0.0.0/0:VPC的所有流量(IPv4)都会经过云防火墙防护。
- 网段:该网段的流量会经过云防火墙防护。
黑洞路由
建议您保持关闭状态;开启后如果路由匹配上黑洞路由的目的地址,则该路由的报文会被丢弃。
连接类型
选择连接类型为:云防火墙(CFW)。
下一跳
在下拉列表中,选择自动生成的防火墙连接(cfw-er-auto-attach)。
描述
(可选)路由的描述信息。
- 设置关联功能,添加VPC1和VPC-NAT的连接:在路由表设置页面,选择关联路由表,单击“关联”页签,单击“创建关联”。
- 设置传播路由表。
- 设置关联功能,添加防火墙的关联:在路由表设置页面,选择传播路由表,单击“关联”页签,单击“创建关联”。 图2 创建关联
表4 创建关联参数说明 参数名称
参数说明
连接类型
选择连接类型为:云防火墙(CFW)。
连接
在下拉列表中,选择自动生成的防火墙连接(cfw-er-auto-attach)。
- 设置传播功能,添加VPC1的传播:单击“传播”页签,单击“创建传播”。 图3 创建传播
表5 创建传播参数说明 参数名称
参数说明
连接类型
选择连接类型:虚拟私有云(VPC)。
连接
在传播下拉列表中,选择VPC1的连接。
- 添加静态路由,指向VPC-NAT:单击“路由”页签,单击“创建路由”。
表6 创建路由参数说明 参数名称
参数说明
目的地址
设置目的地址,设置为:0.0.0.0/0。
黑洞路由
建议保持关闭状态;开启后如果路由匹配上黑洞路由的目的地址,则该路由的报文会被丢弃。
连接类型
选择连接类型:虚拟私有云(VPC)。
下一跳
在下拉列表中,选择VPC-NAT的连接。
- 设置关联功能,添加防火墙的关联:在路由表设置页面,选择传播路由表,单击“关联”页签,单击“创建关联”。
前提条件
VPC-NAT关联NAT网关后,在默认路由表中默认添加一条路由(目的地址:0.0.0.0/0,“下一跳类型”为NAT网关),这个路由会将到达VPC-NAT的流量转向NAT网关,这条路由需注意不能删除。
配置NAT网关
- 配置SNAT规则。
- 进入公网NAT网关列表页面。
- 单击公网NAT网关的名称,进入“基本信息”页面,切换至“SNAT规则”页签。
- 单击“添加SNAT规则”,并配置参数信息。
表7 添加SNAT规则 参数名称
参数说明
使用场景
SNAT规则使用的场景,选择“虚拟私有云”。
网段
选择“自定义”子网,使云服务器通过SNAT方式访问公网。
自定义:自定义一个网段或者填写某个VPC的地址。
- 支持配置0.0.0.0/0的地址段,在多段地址配置时更方便。
- 可以配置32位主机地址,NAT网关只针对此地址起作用。
公网IP类型
选择“弹性公网IP”,此处用来提供互联网访问的公网IP。
这里只能选择没有被绑定的弹性公网IP,或者被绑定在当前公网NAT网关中非“所有端口”类型DNAT规则上的弹性公网IP,或者被绑定到当前公网NAT网关中SNAT规则上的弹性公网IP。
可选择多条EIP添加在SNAT规则中。一条SNAT规则最多添加20个EIP。SNAT规则使用多个EIP时,业务运行时会随机选取其中的一个。
监控
为SNAT连接数设置告警。
可通过设置告警及时了解SNAT连接数运行状况,从而起到预警作用。
描述
SNAT规则信息描述。最大支持255个字符。
- 配置VPC-NAT的路由表。
- 进入路由表列表页面。
- 在“名称”列,单击NAT网关对应VPC的路由表名称,进入路由表“基本信息”页面。
- 单击“添加路由”,并配置参数信息。
表8 添加路由参数说明 参数
说明
目的地址类型
选择“IP地址”。
目的地址
目的地址网段,填写VPC1的IP地址。
填写的网段不能与已有路由和VPC下子网网段冲突。
下一跳类型
在下拉列表中,选择类型“企业路由器”。
下一跳
选择下一跳资源。
下拉列表中将展示您创建的企业路由器名称。
描述
路由的描述信息,非必填项。
描述信息内容不能超过255个字符,且不能包含“<”和“>”。
步骤三:配置VPC1路由表
- 进入路由表列表页面。
- 在“名称”列,单击VPC1的路由表名称,进入路由表“基本信息”页面。
- 单击“添加路由”,并配置参数信息。
表9 添加路由参数说明 参数
说明
目的地址类型
选择“IP地址”。
目的地址
目的地址网段,设置为:0.0.0.0/0。
下一跳类型
在下拉列表中,选择类型“企业路由器”。
下一跳
选择下一跳资源。
下拉列表中将展示您创建的企业路由器名称。
描述
路由的描述信息,非必填项。
描述信息内容不能超过255个字符,且不能包含“<”和“>”。
(可选)步骤四:测试网络连通性
使用业务VPC下的测试机访问外网测试网络连通性,正常访问则证明NAT配置成功。
步骤五:开启VPC间防火墙防护
请参见开启VPC间防火墙。
(可选)步骤六:再次测试网络连通性
再次使用业务VPC下测试机进行网络连通性测试,查看防火墙流量日志中有响应记录,则证明防火墙引流成功。查询流量日志请参见流量日志。
步骤七:配置NAT防护规则
验证流量流通后,需配置防护规则,云防火墙才会实施放行/拦截操作。
- 登录云防火墙控制台。
- 单击管理控制台左上角的
,选择区域。 - (可选)切换防火墙实例:如果有多个防火墙实例,可以在页面左上角的下拉框中进行切换。
- 在左侧导航栏中,选择,进入互联网边界防护规则页面。
- 在“防护规则”页签中,选择“NAT规则”页签,单击“添加”按钮,在弹出的“添加防护规则”中,关键参数填写如下:
- 规则类型:NAT规则
- 方向:SNAT
- 源:选择“IP地址”,配置私网IP。
- 目的:选择“IP地址”(配置公网IP)或“域名/域名组”。
- 应用:Any
- 单击“确认”,完成防护规则配置。
(可选)步骤八:查看日志
使用测试机,访问IP或域名,查看访问控制日志是否有命中该条规则的日志,有则证明防护规则生效,查询访问控制日志请参见访问控制日志。
步骤九:切换业务
在验证通过后,逐步切换类生产/现网业务到云防火墙。