文档首页/ NAT网关 NAT/ 最佳实践/ 通过公网NAT网关和云防火墙CFW防护SNAT规则出网流量
更新时间:2025-10-15 GMT+08:00
分享

通过公网NAT网关和云防火墙CFW防护SNAT规则出网流量

应用场景

在云上环境中,当VPC内需要管理大量的ECS实例时,如果采用逐一配置弹性公网IP的方式,不仅会显著降低管理和运营效率,还会增加ECS实例遭受恶意扫描和攻击的风险。

您可以使用公网NAT网关管理统一管理ECS实例的出入云需求,从以下两个方面提升运维效率,降低安全风险。

  • 在确保原有资源正常运行的前提下,通过公网NAT网关SNAT规则为VPC内的所有ECS实例统一提供公网访问能力。
  • 对于直接绑定弹性公网IP的ECS实例,通过将EIP从ECS实例解绑并创建DNAT规则,在确保客户端访问ECS实例方式不变的同时,有效控制端口暴露范围。

准备工作

约束与限制

  • “专业版”云防火墙支持私网IP的访问控制。
  • 云防火墙当前默认支持标准私网网段,如果您需要配置其它的网段,请您修改私网网段或提交工单进行私网网段扩容。

SNAT防护网

请求流量和响应流量为同一个路径。

配置建议

  • 建议为NAT网关创建独立VPC不用于云服务器等实例网络配置,避免影响后续的访问控制。
  • 在前期网络规划复杂甚至不合理的情况下(例如存在VPC网段重叠、NAT网关已有复杂配置、已通过VPC-Peering配置东西向通信等场景下),请充分评估网络互连、环路、路由冲突等风险。
  • 因涉及组件多,不建议直接将现网业务导入,可先创建测试机,并在业务VPC路由表中配置目的地址路由,利用业务VPC中的测试机验证整个业务流是否走通及配置的规则是否有效,再对现网业务进行切流。
  • 使用云防火墙后,避免第一时间配置拦截规则。建议首先验证流量接入防火墙后业务是否正常,逐步增加规则,并及时验证功能,一旦发现有问题,需及时关闭防护,避免现网业务受损。
  • 对于SNAT EIP,外到内无法主动访问,内到外的访问控制规则使用的是互联网边界防护的能力,建议不在“弹性公网IP管理”页面中对SNAT所绑定的EIP开启防护,避免规则和日志混乱。

配置流程

配置详情请参见通过配置CFW防护规则实现SNAT流量防护
图1 SNAT防护配置流程

相关文档