虚拟私有云 VPC虚拟私有云 VPC

文档首页> 虚拟私有云 VPC> 最佳实践> 云内网使用第三方防火墙
更新时间:2021/06/16 GMT+08:00
分享

云内网使用第三方防火墙

操作场景

虚拟私有云支持用户自主配置和管理虚拟网络环境,您可以在VPC中使用安全组及网络ACL来进行网络访问控制,也可以使用已有的第三方防火墙软件或配置,对云上的业务进行灵活的安全控制。

本文以用户同区域的多VPC连通为例,介绍云内网使用第三方防火墙的应用场景。

方案优势

  • 支持用户的第三方防火墙设置。
  • 支持用户自定义的更加灵活的安全策略。

典型拓扑

假设用户业务部署在VPC1、VPC2、VPC3、VPCX中,并且需要在云上使用第三方虚拟化防火墙。用户可以将第三方虚拟化防火墙配置在VPCX的弹性云服务器ECSX中,使用对等连接及路由规则将VPC间进行连通。连通后,VPCX中部署了第三方防火墙的服务器将按照防火墙规则对进出的数据进行过滤。

实现方式如下:

图1 场景示意

前提条件

  • 第三方防火墙使用的弹性云服务器所在子网需要关联路由表 ,请确保所在区域中路由表已从虚拟私有云中解耦。
  • VPCX与VPC1,VPC2,VPC3子网网段不能重叠,否则流量无法进入弹性云服务器内防火墙。

配置步骤

  1. 创建VPC及子网

    创建VPC1,VPC2,VPC3,VPCX。

    具体操作请参见创建虚拟私有云和子网

    创建的VPC1,VPC2,VPC3,VPCX网段不能重叠。例如VPC1:10.1.0.0/24;VPC2:10.2.0.0/24;VPC3:10.3.0.0/24;VPCX:192.168.0.0/16

  2. 创建弹性云服务器

    1. 创建ECS1,ECS2,ECS3,ECSX,分别属于VPC1,VPC2,VPC3,VPCX。

      具体操作请参见创建弹性云服务器

      ECSX的网卡要关闭源/目的检查,关闭源/目的检查操作请参见关闭源/目的检查

    1. 在ECSX中部署第三方防火墙。

      参考防火墙软件:https://marketplace.huaweicloud.com/all/?q=JemYsueBq-WimSU

  3. 创建对等连接

    VPC1和VPCX,VPC2和VPCX,VPC3和VPCX分别创建对等连接,实现VPC间的连通。

    创建对等连接时,先不配置本端和对端的路由规则,具体配置路由规则参见配置路由规则

    具体操作见创建对等连接

  4. 创建子网路由表

    创建自定义路由表,关联VPCX的子网,控制VPCX的子网的出流量走向。

    具体操作请参见创建自定义路由表

  5. 创建虚拟IP并绑定ECSX(可选)

    您可以在VPCX中创建主备服务器,并绑定同一虚拟IP,当主服务器发生故障无法对外提供服务时,动态将虚拟IP切换到备服务器,继续对外提供服务。如果部署第三方防火墙的弹性云服务器不需要主备,此步骤可以省略。

    1. 在VPCX的子网下创建虚拟IP。

      具体操作请参见申请虚拟IP地址

    2. 将虚拟IP绑定到ECSX。

      具体操作请参见虚拟IP绑定云服务器

  6. 配置路由规则

    通过配置路由规则将指向目的地址的流量转发到指定的下一跳地址。
    1. 修改VPC1的默认路由表,增加三条路由规则:
      1. VPC1 > VPCX,目的地址:VPCX的CIDR,下一跳:VPC1与VPCX的对等连接。
      2. VPC1 > VPC2,目的地址:VPC2的CIDR,下一跳:VPC1与VPCX的对等连接。
      3. VPC1 > VPC3。目的地址:VPC3的CIDR,下一跳:VPC1与VPCX的对等连接。

        参考图2

        图2 VPC1默认路由表规则
    2. 修改VPC2的默认路由表,增加三条路由规则:
      1. VPC2 > VPCX,目的地址:VPCX的CIDR,下一跳:VPC2与VPCX的对等连接。
      2. VPC2 > VPC1,目的地址:VPC1的CIDR,下一跳:VPC2与VPCX的对等连接。
      3. VPC2 > VPC3,目的地址:VPC3的CIDR,下一跳:VPC2与VPCX的对等连接。

        参考图3

        图3 VPC2默认路由表规则
    3. 修改VPC3的默认路由表,增加三条路由规则:
      1. VPC3 > VPCX,目的地址:VPCX的CIDR,下一跳:VPC3与VPCX的对等连接。
      2. VPC3 > VPC2,目的地址:VPC2的CIDR,下一跳:VPC3与VPCX的对等连接。
      3. VPC3 > VPC1,目的地址:VPC1的CIDR,下一跳:VPC3与VPCX的对等连接。

        参考图4

        图4 VPC3默认路由表规则
    4. 修改VPCX的默认路由,增加一条路由规则:
      1. 目的地址:0.0.0.0/0,下一跳:ECSX。

        如果涉及主备部署,创建了虚拟IP的情况下,此处下一跳是虚拟IP的地址。

        参考图5

        图5 VPCX默认路由表规则
    5. 修改VPCX的子网路由表,增加三条路由规则:
      1. VPCX > VPC1,目的地址:VPC1的CIDR,下一跳:VPC1与VPCX的对等连接。
      2. VPCX > VPC2,目的地址:VPC2的CIDR,下一跳:VPC2与VPCX的对等连接。
      3. VPCX > VPC3。目的地址:VPC3的CIDR,下一跳:VPC3与VPCX的对等连接。

        参考图6

        图6 VPCX子网路由表规则

配置验证

登录弹性云服务器ECS1访问ECS2,在ECSX中可以收到ECS1发给ECS2的报文。报文经过ECSX中的防火墙,被防火墙规则过滤。

分享:

    相关文档

    相关产品