通过CFW专业版进行云桌面SNAT和VPC间流量防护

操作场景

适用于希望统一管理云桌面业务面的所有访问，包括公网访问、VPC间访问、专线内网访问的流量进行管控和防护。

操作步骤

以下示例为：通过CFW专业版对云桌面SNAT流量进行防护（同组网可以支持对云桌面东西向、南北向各流向的流量进行防护。）

1. 登录管理控制台。
2. 在左上角单击“”，依次选择“网络 > 虚拟私有云VPC”，进入“虚拟私有云”页面。
3. 请参见创建虚拟私有云，完成“NAT中转VPC”的创建。
   

   创建VPC时，由于该VPC仅用于网络中转，只需确保其网段与云桌面所在VPC的网络不发生冲突即可。

4. 在左上角单击“”，依次选择“网络 > NAT网关”，进入“NAT网关”页面。
5. 请参见购买公网NAT网关，完成购买。
   

   购买公网NAT网关时，请关联3中创建的VPC。

6. 在NAT网关“操作”列下单击“设置规则”，进入NAT网关规则设置页。
7. 在“SNAT规则”页签下单击“添加SNAT规则”，设置向公网转发规则。

   

8. 单击“确定”。
9. 在左上角单击“”，依次选择“网络 > 企业路由器 ER”，进入“企业路由器”页面。
10. 请参见企业路由器ER服务创建企业路由器。
11. 单击新创建的“ER企业路由器实例”，进入详情页面。
12. 单击“连接”标签页，单击“添加连接”，分别将“云桌面VPC”和“NAT中转VPC”添加至ER关联；（如果不配置连接侧路由，需在VPC路由表中将对应业务路由进行添加）。
    • 云桌面VPC：在云桌面的管理控制台的“租户配置 > 基础配置”下查看“虚拟私有云（VPC）”。
    • NAT中转VPC：在3中获取。

    

13. 点击“”并搜索“云防火墙CFW”，点击进入“云防火墙CFW”控制台。
14. 请参见购买云防火墙，购买一个CFW云防火墙实例（不同规格的功能差异，请参见CFW产品功能，本章节案例示例使用规格为：专业版）。
15. 在左侧导航栏，依次“资产管理 > VPC边界防火墙管理” 。
    1. 单击“创建VPC间防火墙”，弹出创建VPC间防火墙页面。
    2. 路由方式选择“企业路由器”，单击“下一步”。
    3. 企业路由器选择10创建的企业路由器ER实例。
    4. 网络规则设置一个与云桌面VPC不冲突的私网网段。
    5. 单击“确认”。
       

       此处规划的网段将用于将流量转发至云防火墙，一旦创建无法修改，请您在进行网络规划时注意如下事项：

       1. 该网段不可与需要开启防护的私网网段重合，否则会导致路由冲突。
       2. 10.1.0.0/16、10.6.0.0/16-10.7.0.0/16网段为云防火墙保留网段，禁止选用。

16. 点击“”并搜索“企业路由器ER”，单击进入“企业路由器ER”控制台。
17. 单击新创建的实例名称，进入ER实例基本信息页面。
18. 单击“路由表”页签，找到默认路由表“defaultRouteTable”并选中，单击“关联”。
19. 找到启用VPC间防护自动关联的云防火墙连接，在“操作”列下单击“删除”，单击“确定”。
20. 单击“传播”页签，找到“NAT中转VPC”对应传播，在“操作”列下单击“删除”，单击“确定”。
21. 在“路由”页签下，单击“创建路由”，创建一个将所有流量导入云防火墙处理的路由。

    

22. 在“路由表”页签，单击“创建路由表”

    

23. 在新创建的路由表下单击“关联”页签，单击“创建关联”。
    1. 连接类型：选择“云防火墙（CFW）”。
    2. 连接：下拉选择防火墙名称。
    3. 单击“确定”。

    

24. 在新创建的路由表下单击“传播”页签，单击“创建传播”。
    1. 连接类型：选择“虚拟私有云（VPC）”。
    2. 连接：下拉选择云桌面VPC名称。
    3. 单击“确定”。

    

25. 在新创建的路由表下单击“路由”页签，单击“创建路由”。
    1. 目的地址：0.0.0.0/0。
    2. 连接类型：虚拟私有云（VPC）。
    3. 下一跳：选择NAT终端VPC。
    4. 单击“确定”。

    

26. 单击服务列表“”并搜索“虚拟私有云VPC”，单击进入“虚拟私有云VPC”控制台，在左侧导航中，找到“我的VPC”。
27. 在云桌面VPC所在行的“路由表”列下单击对应数字，跳转至该VPC所关联的默认路由表（当前该示例仅讨论一个VPC关联一个路由表的场景）。
28. 单击路由表实例名称，进入“云桌面VPC”路由表详情页，点击“添加路由”，添加一条将云桌面VPC的所有访问导入到“企业路由器 ER”进行转发的路由规则。

    

29. 重复26~27，找到“NAT中转VPC”所在行，并跳转至该“NAT中转VPC”所关联的默认路由表。
30. 点击路由表实例名称，进入“NAT中转VPC”路由表详情页，点击“添加路由”，添加一条将返回“云桌面VPC”的流量由“企业路由器 ER”回程的路由。

    

31. 点击“”并搜索“云防火墙CFW”，单击进入“云防火墙CFW”控制台。
32. 在左侧导航栏，点击“访问控制 > 互联网边界防护规则 > NAT规则”（注：启用了NAT规则后，不建议再启用EIP规则，防止流量重复过滤）。
33. 单击“添加”，在弹出的“添加防护规则”中，填写防护信息，根据实际业务部署需要填写防护规则（以云桌面默认拒绝访问公网，仅允许访问华为云网站为示例，介绍如何进行规则配置）。
34. 配置一条拦截所有访问公网流量的规则，如表1所示。
    

    表1 规则参数说明

    参数	示例	说明
    方向	SNAT	防护的流量的方向。
    源	Any	网络流量的发起方。
    目的	Any	网络流量的接收方。
    服务	Any	网络流量的协议、源端口、目的端口。
    应用	Any	针对应用层协议的防护策略。
    动作	阻断	流量经过防火墙时的处理动作。

35. 添加第二条规则，允许访问所有华为云网站，如表2所示。

    

    表2 规则参数说明

    参数	示例	说明
    方向	SNAT	防护的流量的方向。
    源	Any	网络流量的发起方。
    目的	在下拉框中选择“应用域名”，填写：*.huaweicloud.com,huaweicloud.com,*.myhuaweicloud.com,*.hc-cdn.com,*.hc-cdn.cn	网络流量的接收方。 注：可通过应用域名组进行集中管理
    服务	服务/服务组：选择“服务”。 协议：选择“TCP”。 源端口：1-65535。 目的端口：1-65535。	网络流量的协议、源端口、目的端口。
    应用	选择“应用”，在下拉框中选择HTTP、HTTPS	针对应用层协议的防护策略。
    动作	放行	流量经过防火墙时的处理动作。

36. 在左侧导航栏依次单击“资产管理 > VPC边界防火墙管理”，将防火墙状态改为“已开启”。

    

37. 在左侧导航栏中，选择“日志审计 > 日志查询”。默认进入“攻击事件日志”页面，选择“访问控制日志”页签。（日志中“目的IP”列是任意huaweicloud.com的域名时，对应的“响应动作”是“放行”，其他流量对应的“响应动作”是“阻断”。）