通过配置CFW防护规则实现两个VPC间流量防护
应用场景
VPC之间存在着大量的数据交换需求,CFW提供的VPC间流量防护能够检测和统计VPC间的通信流量数据,帮助您发现异常流量。
本文介绍如何配置云防火墙实现VPC1(172.16.0.0/16)和VPC2(172.18.0.0/16)之间的流量防护。
约束条件
- 仅“专业版”支持VPC边界防火墙。
- 依赖企业路由器(Enterprise Router, ER)服务引流。
- 仅支持防护当前账号所属企业项目下的VPC。
- 如果您存在私用公网(即使用10.0.0.0/8、 172.16.0.0/12、192.168.0.0/16 以及运营商级NAT保留网段100.64.0.0/10 以外的公网网段作为私网地址段)的情况,请您提交工单进行私网网段扩容,否则云防火墙可能无法正常转发您VPC间的流量。
适用版本
新版VPC边界防火墙,即配置界面如下:
配置原理
您需要按以下步骤操作:
- 创建防火墙(以命名vpc-cfw-er为例)并关联子网,请参见步骤一:创建防火墙。
- 配置企业路由器。
- 配置所有VPC(包括防火墙VPC和需要互联的VPC)的路由转向企业路由器,请参见将路由转向企业路由器。
- 创建所有VPC(包括防火墙VPC和需要互联的VPC)的连接,请参见添加连接。
- 创建两个路由表(以er-RT1和er-RT2为例),请参见创建两个路由表。
- 配置关联路由表er-RT1将流量从VPC传输到云防火墙,请参见配置路由表er-RT1。
配置传播路由表er-RT2将流量从云防火墙传输到VPC,请参见配置路由表er-RT2。
- 修改VPC的路由表,请参见修改VPC的路由表。
- 开启VPC防护,并验证流量正常通信。
- 配置防护规则,并查看防护效果。
步骤一:创建防火墙
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域。 - 在左侧导航栏中,单击左上方的
,选择,进入云防火墙的总览页面。 - 在左侧导航栏中,选择,进入“VPC边界防火墙管理”页面。
- 单击“创建防火墙”,选择企业路由器并配置合适的网段。
- 企业路由器用于引流,选择时需满足以下限制:
- 没有与其它防火墙实例关联。
- 需归属本账号,非共享企业路由器。
- 需关闭“默认路由表关联”、“默认路由表传播”和“自动接收共享连接”功能。
- 网段配置后默认创建InspectionVPC将流量转发至云防火墙,并自动分配云墙关联子网,将云防火墙流量转发到企业路由器,选择时需注意以下限制:
- 创建防火墙后不支持修改网段。
- 该网段需满足以下条件:
- 仅支持私网地址段(即在10.0.0.0/8、172.16.0.0/12、192.168.0.0/16范围中),否则可能在SNAT等访问公网的场景下产生路由冲突,
- 10.6.0.0/16-10.7.0.0/16网段为防火墙保留网段,不可使用。
- 不可与需要开启防护的私网网段重合,否则会因路由冲突,导致该网段无法防护。
- 企业路由器用于引流,选择时需满足以下限制:
- 单击“确认”,需等待3-5分钟,完成防火墙创建。
步骤二:配置企业路由器
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域。
- 配置VPC(VPC1、VPC2、vpc-cfw-er)的路由表转向企业路由器。
在左侧导航栏中,选择,进入“路由表”页面,在“名称”列,单击对应VPC的路由表名称。
单击“添加路由”,参数详情见表 添加路由参数说明。
- 选择,进入“企业路由器”页面。
在企业路由器中添加VPC连接,操作步骤请参见企业路由器中添加VPC连接。
- 至少需要添加三条VPC连接(CFW及两个防护的VPC);每增加一个防护的VPC,都需要增加一条连接。
例如:对防火墙连接命名为cfw-er-auto(创建防火墙后自动生成);对VPC1连接命名为vpc-1;对VPC2连接命名为vpc-2,需防护VPC3时,增加连接命名为vpc-3。
- 如需防护其他账号(如账号B)下的VPC,请将当前账号A的企业路由器共享至账号B,共享步骤请参见创建共享,共享成功后在账号B中添加连接,后续配置仍在账号A中进行。
- 后文示例:对防火墙连接命名为cfw-er-auto(创建防火墙后自动生成);对VPC1连接命名为vpc-1;对VPC2连接命名为vpc-2。
- 至少需要添加三条VPC连接(CFW及两个防护的VPC);每增加一个防护的VPC,都需要增加一条连接。
- 创建两个路由表er-RT1和er-RT2分别用于连接需防护的VPC和连接防火墙。
单击企业路由器名称,进入“基本信息”页面,“路由表”页签,进入路由表设置页面,单击“创建路由表”。
参数详情见表 创建路由表参数说明。
表2 创建路由表参数说明 参数名称
参数说明
取值样例
名称
输入路由表的名称。要求如下:
- 长度范围为1~64位。
- 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。
er-RT1/er-RT2
描述
您可以根据需要在文本框中输入对该路由表的描述信息。
-
标签
您可以在创建路由表的时候为路由表绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。
关于标签更详细的说明,请参见标签概述。
“标签键”:test
“标签值”:01
- 配置关联路由表er-RT1:设置关联和路由功能。
- 在路由表设置页面,选择用于连接需防护VPC的路由表(er-RT1),单击“关联”页签,单击“创建关联”。
如图 创建关联,参数详情见表 创建关联参数说明。
表4 创建VPC2关联参数说明 参数名称
参数说明
取值样例
连接类型
选择连接类型“虚拟私有云(VPC)”。
虚拟私有云(VPC)
连接
在连接下拉列表中,选择需防护的VPC连接。
vpc-2
- 创建同一路由表(er-RT1)的路由功能。单击“路由”页签,单击“创建路由”,根据实际数量创建路由功能。
如图 创建路由,参数详情见表 创建路由参数说明。
- 在路由表设置页面,选择用于连接需防护VPC的路由表(er-RT1),单击“关联”页签,单击“创建关联”。
- 配置传播路由表er-RT2:设置关联和传播功能。
- 在路由表设置页面,单击“关联”页签,选择用于连接防火墙的路由表(er-RT2),单击“创建关联”。
如图 创建关联,参数详情见表 创建关联参数说明 。
- 创建同一路由表(er-RT2)的传播功能。单击“传播”页签,单击“创建传播”。
如图 创建传播,参数详情见表 创建传播参数说明。
表8 创建传播参数说明 参数名称
参数说明
取值样例
连接类型
选择连接类型“虚拟私有云(VPC)”。
虚拟私有云(VPC)
连接
在传播下拉列表中,选择需防护的VPC连接。
vpc-2
- 在路由表设置页面,单击“关联”页签,选择用于连接防火墙的路由表(er-RT2),单击“创建关联”。
- 修改VPC的路由表,将VPC1的路由指向VPC2,VPC2的路由指向VPC1。
- 返回至企业路由器服务页面,在左侧导航栏中,选择,进入“路由表”页面。
- 在“名称/ID”列,单击对应VPC的路由表名称,进入路由表“基本信息”页面。
- 单击“添加路由”,主要参数填写如下:
- VPC1(172.16.0.0/16)中添加路由:
- 目的地址类型:选择“IP地址”。
- 目的地址:172.18.0.0/16
- 下一跳类型:企业路由器
- VPC2(172.18.0.0/16)中添加路由:
- 目的地址类型:选择“IP地址”。
- 目的地址:172.16.0.0/16
- 下一跳类型:企业路由器
- VPC1(172.16.0.0/16)中添加路由:
步骤三:开启VPC防护并验证流量正常通信
- 在左侧导航栏中,选择,进入“VPC边界防火墙管理”页面。
- 在“防火墙状态”侧,单击“开启防护”。
- 单击“确认”,完成开启VPC边界防火墙。
- 生成流量,请参见验证网络互通情况。
- 查看日志:在左侧导航栏中,选择 ,选择页签。
- 有日志记录:云防火墙已成功防护VPC间流量。
- 无日志记录,排查企业路由器配置,请参见步骤二:配置企业路由器。
步骤四:配置防护规则并查看防护效果
- 在左侧导航栏中,选择,选择“VPC边界”页签,进入VPC边界管理页面。
- 添加三条防护规则。
单击“添加”,在弹出的“添加防护规则”中,填写新的防护信息,其余参数可根据业务部署填写。
- 一条阻断所有流量。
- 源:Any
- 目的:Any
- 服务:Any
- 应用:Any
- 动作:阻断
- 一条放行VPC1到VPC2的流量
- 源:选择“IP地址”、填写172.16.0.0/16。
- 目的:选择“IP地址”、填写172.18.0.0/16。
- 服务:Any
- 应用:Any
- 动作:放行
- 一条放行VPC2到VPC1的流量
- 源:选择“IP地址”、填写172.18.0.0/16。
- 目的:选择“IP地址”、填写172.16.0.0/16。
- 服务:Any
- 应用:Any
- 动作:放行
- 一条阻断所有流量。
- 通过访问控制日志查看命中详情。
在左侧导航栏中,选择。默认进入“攻击事件日志”页面,选择“访问控制日志”页签,切换至“VPC边界防火墙”页签。
相关文档
需要增加其他防护规则时,请参见防护规则的详细参数说明添加防护规则。
