更新时间:2026-07-03 GMT+08:00
分享

配置CFW防护规则实现SNAT流量防护

本节介绍配置云防火墙防护规则实现SNAT流量防护的详细操作步骤。

步骤一:将VPC1和VPC-NAT接入企业路由器中

本步骤指导您如何将VPC1和VPC-NAT接入企业路由器。

  1. 添加VPC连接。

    需要添加两条连接,“连接资源”分别选择VPC1和VPC-NAT。

    操作步骤请参见企业路由器中添加VPC连接

  2. 创建两个路由表。

    1. 在左侧导航栏中,单击左上方的,选择网络 > 企业路由器,单击“管理路由表”,进入“路由表”页面。
    2. 创建两个路由表,作为关联路由表传播路由表分别用于连接需防护的VPC和连接防火墙。

      在企业路由器详情页面中,单击“路由表”页签,进入路由表设置页面,单击“创建路由表”,并在弹出的创建路由表框中配置参数信息。

      表1 创建路由表参数说明

      参数名称

      参数说明

      名称

      输入路由表的名称。

      命名规则如下:
      • 长度范围为1~64位。
      • 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。

      AS_Path选路策略

      可选参数。

      • 不配置:表示路由在形成负载分担时,比较AS_Path属性,优选AS_Path长度较短的。AS_Path属性按矢量顺序记录了BGP路由从本地到目的地址所要经过的所有AS编号,AS_Path记录的AS编号越少,证明长度越短。
      • 忽略相同长度AS_Path:设置该参数后,路由在形成负载分担时不比较相同长度的AS_Path属性。AS_Path可防止自治系统AS之间发生BGP环路,开启“忽略相同长度AS_Path”选项,可能导致BGP环路。

      标签

      可选参数。

      您可以在创建路由表的时候为路由表绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。

      关于标签更详细的说明,请参见标签概述

      描述

      可选参数。

      您可以根据需要在文本框中输入对该路由表的描述信息。

  3. 设置关联路由表。

    1. 设置关联功能,添加VPC1和VPC-NAT的连接:在路由表设置页面,选择关联路由表,单击“关联”页签,单击“创建关联”

      需要增加两条关联,“连接”分别选择VPC1和VPC-NAT的连接。

      表2 创建关联参数说明

      参数名称

      参数说明

      连接类型

      选择连接类型:虚拟私有云(VPC)。

      连接

      在连接下拉列表中,选择VPC连接。

    2. 添加静态路由,指向防火墙:单击“路由”页签,单击“创建路由”
      图1 创建路由
      表3 创建路由参数说明

      参数名称

      参数说明

      目的地址

      设置目的地址。

      • 0.0.0.0/0:VPC的所有流量(IPv4)都会经过云防火墙防护。
      • 网段:该网段的流量会经过云防火墙防护。

      黑洞路由

      建议您保持关闭状态;开启后如果路由匹配上黑洞路由的目的地址,则该路由的报文会被丢弃。

      连接类型

      选择连接类型为:云防火墙(CFW)。

      下一跳

      在下拉列表中,选择自动生成的防火墙连接(cfw-er-auto-attach)。

      描述

      (可选)路由的描述信息。

  4. 设置传播路由表。

    1. 设置关联功能,添加防火墙的关联:在路由表设置页面,选择传播路由表,单击“关联”页签,单击“创建关联”
      图2 创建关联
      表4 创建关联参数说明

      参数名称

      参数说明

      连接类型

      选择连接类型为:云防火墙(CFW)。

      连接

      在下拉列表中,选择自动生成的防火墙连接(cfw-er-auto-attach)。

    2. 设置传播功能,添加VPC1的传播:单击“传播”页签,单击“创建传播”
      图3 创建传播
      表5 创建传播参数说明

      参数名称

      参数说明

      连接类型

      选择连接类型:虚拟私有云(VPC)。

      连接

      在传播下拉列表中,选择VPC1的连接。

    3. 添加静态路由,指向VPC-NAT:单击“路由”页签,单击“创建路由”
      表6 创建路由参数说明

      参数名称

      参数说明

      目的地址

      设置目的地址,设置为:0.0.0.0/0。

      黑洞路由

      建议保持关闭状态;开启后如果路由匹配上黑洞路由的目的地址,则该路由的报文会被丢弃。

      连接类型

      选择连接类型:虚拟私有云(VPC)。

      下一跳

      在下拉列表中,选择VPC-NAT的连接。

步骤二:配置NAT网关

本步骤指导您如何配置NAT网关。

前提条件

  • 已购买NAT网关:如果该网关对应的VPC未关联云资源(如云服务器),则可用于后续配置。
  • 未购买NAT网关:需购买NAT网关,请参见购买公网NAT网关。关于NAT网关的收费,请参见计费说明

VPC-NAT关联NAT网关后,在默认路由表中默认添加一条路由(目的地址:0.0.0.0/0,“下一跳类型”为NAT网关),这个路由会将到达VPC-NAT的流量转向NAT网关,这条路由需注意不能删除。

配置NAT网关

  1. 配置SNAT规则。
    1. 进入公网NAT网关列表页面
    2. 单击公网NAT网关的名称,进入“基本信息”页面,切换至“SNAT规则”页签。
    3. 单击“添加SNAT规则”,并配置参数信息。
      表7 添加SNAT规则

      参数名称

      参数说明

      使用场景

      SNAT规则使用的场景,选择“虚拟私有云”

      网段

      选择“自定义”子网,使云服务器通过SNAT方式访问公网。

      自定义:自定义一个网段或者填写某个VPC的地址。

      • 支持配置0.0.0.0/0的地址段,在多段地址配置时更方便。
      • 可以配置32位主机地址,NAT网关只针对此地址起作用。

      公网IP类型

      选择“弹性公网IP”,此处用来提供互联网访问的公网IP。

      这里只能选择没有被绑定的弹性公网IP,或者被绑定在当前公网NAT网关中非“所有端口”类型DNAT规则上的弹性公网IP,或者被绑定到当前公网NAT网关中SNAT规则上的弹性公网IP。

      可选择多条EIP添加在SNAT规则中。一条SNAT规则最多添加20个EIP。SNAT规则使用多个EIP时,业务运行时会随机选取其中的一个。

      监控

      为SNAT连接数设置告警。

      可通过设置告警及时了解SNAT连接数运行状况,从而起到预警作用。

      描述

      SNAT规则信息描述。最大支持255个字符。

  2. 配置VPC-NAT的路由表。
    1. 进入路由表列表页面
    2. “名称”列,单击NAT网关对应VPC的路由表名称,进入路由表“基本信息”页面。
    3. 单击“添加路由”,并配置参数信息。
      表8 添加路由参数说明

      参数

      说明

      目的地址类型

      选择“IP地址”

      目的地址

      目的地址网段,填写VPC1的IP地址。

      填写的网段不能与已有路由和VPC下子网网段冲突。

      下一跳类型

      在下拉列表中,选择类型“企业路由器”

      下一跳

      选择下一跳资源。

      下拉列表中将展示您创建的企业路由器名称。

      描述

      路由的描述信息,非必填项。

      描述信息内容不能超过255个字符,且不能包含“<”和“>”。

步骤三:配置VPC1路由表

  1. 进入路由表列表页面
  2. “名称”列,单击VPC1的路由表名称,进入路由表“基本信息”页面。
  3. 单击“添加路由”,并配置参数信息。

    表9 添加路由参数说明

    参数

    说明

    目的地址类型

    选择“IP地址”

    目的地址

    目的地址网段,设置为:0.0.0.0/0。

    下一跳类型

    在下拉列表中,选择类型“企业路由器”

    下一跳

    选择下一跳资源。

    下拉列表中将展示您创建的企业路由器名称。

    描述

    路由的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

(可选)步骤四:测试网络连通性

使用业务VPC下的测试机访问外网测试网络连通性,正常访问则证明NAT配置成功。

步骤五:开启VPC间防火墙防护

请参见开启VPC间防火墙

(可选)步骤六:再次测试网络连通性

再次使用业务VPC下测试机进行网络连通性测试,查看防火墙流量日志中有响应记录,则证明防火墙引流成功。查询流量日志请参见流量日志

步骤七:配置NAT防护规则

验证流量流通后,需配置防护规则,云防火墙才会实施放行/拦截操作。

  1. 登录云防火墙控制台
  2. 单击管理控制台左上角的,选择区域。
  3. (可选)切换防火墙实例:如果有多个防火墙实例,可以在页面左上角的下拉框中进行切换。
  4. 在左侧导航栏中,选择访问控制 > 互联网边界防护规则,进入互联网边界防护规则页面。
  5. “防护规则”页签中,选择“NAT规则”页签,单击“添加”按钮,在弹出的“添加防护规则”中,关键参数填写如下:

    • 规则类型:NAT规则
    • 方向:SNAT
    • 源:选择“IP地址”,配置私网IP。
    • 目的:选择“IP地址”(配置公网IP)或“域名/域名组”
    • 应用:Any

  6. 单击“确认”,完成防护规则配置。

(可选)步骤八:查看日志

使用测试机,访问IP或域名,查看访问控制日志是否有命中该条规则的日志,有则证明防护规则生效,查询访问控制日志请参见访问控制日志

步骤九:切换业务

在验证通过后,逐步切换类生产/现网业务到云防火墙

相关文档