通过公网NAT网关和云防火墙CFW防护SNAT规则出网流量
应用场景
在云上环境中,当VPC内需要管理大量的ECS实例时,如果采用逐一配置弹性公网IP的方式,不仅会显著降低管理和运营效率,还会增加ECS实例遭受恶意扫描和攻击的风险。
您可以使用公网NAT网关管理统一管理ECS实例的出入云需求,从以下两个方面提升运维效率,降低安全风险。
- 在确保原有资源正常运行的前提下,通过公网NAT网关SNAT规则为VPC内的所有ECS实例统一提供公网访问能力。
- 对于直接绑定弹性公网IP的ECS实例,通过将EIP从ECS实例解绑并创建DNAT规则,在确保客户端访问ECS实例方式不变的同时,有效控制端口暴露范围。
约束与限制
- 仅“专业版”云防火墙支持私网IP的访问控制。
- 云防火墙当前默认支持标准私网网段,如果您需要配置其它的网段,请您修改私网网段或提交工单进行私网网段扩容。
SNAT防护网

请求流量和响应流量为同一个路径。
配置建议
- 建议为NAT网关创建独立VPC不用于云服务器等实例网络配置,避免影响后续的访问控制。
- 在前期网络规划复杂甚至不合理的情况下(例如存在VPC网段重叠、NAT网关已有复杂配置、已通过VPC-Peering配置东西向通信等场景下),请充分评估网络互连、环路、路由冲突等风险。
- 因涉及组件多,不建议直接将现网业务导入,可先创建测试机,并在业务VPC路由表中配置目的地址路由,利用业务VPC中的测试机验证整个业务流是否走通及配置的规则是否有效,再对现网业务进行切流。
- 使用云防火墙后,避免第一时间配置拦截规则。建议首先验证流量接入防火墙后业务是否正常,逐步增加规则,并及时验证功能,一旦发现有问题,需及时关闭防护,避免现网业务受损。
- 对于SNAT EIP,外到内无法主动访问,内到外的访问控制规则使用的是互联网边界防护的能力,建议不在“弹性公网IP管理”页面中对SNAT所绑定的EIP开启防护,避免规则和日志混乱。
配置流程
