文档首页/ 云防火墙 CFW/ 最佳实践/ 通过配置CFW防护规则实现两个VPC间流量防护
更新时间:2024-12-02 GMT+08:00

通过配置CFW防护规则实现两个VPC间流量防护

应用场景

VPC之间存在着大量的数据交换需求,CFW提供的VPC间流量防护能够检测和统计VPC间的通信流量数据,帮助您发现异常流量。

本文介绍如何配置云防火墙实现VPC1(172.16.0.0/16)和VPC2(172.18.0.0/16)之间的流量防护。

约束条件

  • “专业版”支持VPC边界防火墙。
  • 依赖企业路由器(Enterprise Router, ER)服务引流。
  • 仅支持防护当前账号所属企业项目下的VPC。
  • 如果您存在私用公网(即使用10.0.0.0/8、 172.16.0.0/12、192.168.0.0/16 以及运营商级NAT保留网段100.64.0.0/10 以外的公网网段作为私网地址段)的情况,请您提交工单进行私网网段扩容,否则云防火墙可能无法正常转发您VPC间的流量。

适用版本

新版VPC边界防火墙,即配置界面如下:

图1 VPC边界防火墙(新版)

配置原理

您需要按以下步骤操作:

  1. 创建防火墙(以命名vpc-cfw-er为例)并关联子网,请参见步骤一:创建防火墙
  2. 配置企业路由器。
    1. 配置所有VPC(包括防火墙VPC和需要互联的VPC)的路由转向企业路由器,请参见将路由转向企业路由器。
    2. 创建所有VPC(包括防火墙VPC和需要互联的VPC)的连接,请参见添加连接
    3. 创建两个路由表(以er-RT1和er-RT2为例),请参见创建两个路由表
    4. 配置关联路由表er-RT1将流量从VPC传输到云防火墙,请参见配置路由表er-RT1

      配置传播路由表er-RT2将流量从云防火墙传输到VPC,请参见配置路由表er-RT2

    5. 修改VPC的路由表,请参见修改VPC的路由表
  3. 开启VPC防护,并验证流量正常通信。
  4. 配置防护规则,并查看防护效果。
图2 流量走势图

步骤一:创建防火墙

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. 在左侧导航栏中,选择资产管理 > VPC边界防火墙管理,进入“VPC边界防火墙管理”页面。
  5. 单击“创建防火墙”,选择企业路由器并配置合适的网段。

    • 企业路由器用于引流,选择时需满足以下限制:
      • 没有与其它防火墙实例关联。
      • 需归属本账号,非共享企业路由器。
      • 需关闭“默认路由表关联”“默认路由表传播”“自动接收共享连接”功能。
    • 网段配置后默认创建InspectionVPC将流量转发至云防火墙,并自动分配云墙关联子网,将云防火墙流量转发到企业路由器,选择时需注意以下限制:
      • 创建防火墙后不支持修改网段。
      • 该网段需满足以下条件:
        • 仅支持私网地址段(即在10.0.0.0/8、172.16.0.0/12、192.168.0.0/16范围中),否则可能在SNAT等访问公网的场景下产生路由冲突,
        • 10.6.0.0/16-10.7.0.0/16网段为防火墙保留网段,不可使用。
        • 不可与需要开启防护的私网网段重合,否则会因路由冲突,导致该网段无法防护。

  6. 单击“确认”,需等待3-5分钟,完成防火墙创建。

步骤二:配置企业路由器

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 配置VPC(VPC1、VPC2、vpc-cfw-er)的路由表转向企业路由器。

    在左侧导航栏中,选择网络 > 虚拟私有云 > 路由表,进入“路由表”页面,在“名称”列,单击对应VPC的路由表名称。

    单击“添加路由”,参数详情见表 添加路由参数说明

    表1 添加路由参数说明

    参数

    说明

    取值样例

    目的地址

    目的地址网段。

    须知:

    不能与已有路由和VPC下子网网段冲突。

    xx.xx.xx.0/16

    下一跳类型

    在下拉列表中,选择类型“企业路由器”

    企业路由器

    下一跳

    选择下一跳资源。

    下拉列表中将展示您创建的企业路由器名称。

    cfw-er

    描述

    (可选)路由的描述信息。

    说明:

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -

  4. 选择网络 > 企业路由器,进入“企业路由器”页面。

    在企业路由器中添加VPC连接,操作步骤请参见企业路由器中添加VPC连接

    • 至少需要添加三条VPC连接(CFW及两个防护的VPC);每增加一个防护的VPC,都需要增加一条连接。

      例如:对防火墙连接命名为cfw-er-auto(创建防火墙后自动生成);对VPC1连接命名为vpc-1;对VPC2连接命名为vpc-2,需防护VPC3时,增加连接命名为vpc-3。

    • 如需防护其他账号(如账号B)下的VPC,请将当前账号A的企业路由器共享至账号B,共享步骤请参见创建共享,共享成功后在账号B中添加连接,后续配置仍在账号A中进行。
    • 后文示例:对防火墙连接命名为cfw-er-auto(创建防火墙后自动生成);对VPC1连接命名为vpc-1;对VPC2连接命名为vpc-2。

  5. 创建两个路由表er-RT1和er-RT2分别用于连接需防护的VPC和连接防火墙。

    单击企业路由器名称,进入“基本信息”页面,“路由表”页签,进入路由表设置页面,单击“创建路由表”

    参数详情见表 创建路由表参数说明

    表2 创建路由表参数说明

    参数名称

    参数说明

    取值样例

    名称

    输入路由表的名称。要求如下:

    • 长度范围为1~64位。
    • 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。

    er-RT1/er-RT2

    标签

    您可以在创建路由表的时候为路由表绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。

    关于标签更详细的说明,请参见标签概述

    “标签键”:test

    “标签值”:01

    描述

    您可以根据需要在文本框中输入对该路由表的描述信息。

    -

  6. 配置关联路由表er-RT1:设置关联和路由功能。

    1. 在路由表设置页面,选择用于连接需防护VPC的路由表(er-RT1),单击“关联”页签,单击“创建关联”
      图 创建关联,参数详情见表 创建关联参数说明
      图3 创建关联
      表3 创建VPC1关联参数说明

      参数名称

      参数说明

      取值样例

      连接类型

      选择连接类型“虚拟私有云(VPC)”

      虚拟私有云(VPC)

      连接

      在连接下拉列表中,选择需防护的VPC连接。

      vpc-1

      表4 创建VPC2关联参数说明

      参数名称

      参数说明

      取值样例

      连接类型

      选择连接类型“虚拟私有云(VPC)”

      虚拟私有云(VPC)

      连接

      在连接下拉列表中,选择需防护的VPC连接。

      vpc-2

    2. 创建同一路由表(er-RT1)的路由功能。单击“路由”页签,单击“创建路由”,根据实际数量创建路由功能。

      图 创建路由,参数详情见表 创建路由参数说明

      图4 创建路由
      表5 创建路由参数说明

      参数名称

      参数说明

      目的地址

      设置目的地址。

      • 0.0.0.0/0:VPC的所有流量都会经过云防火墙防护
      • 网段:该网段的流量会经过云防火墙防护

      黑洞路由

      建议您保持关闭状态;开启后如果路由匹配上黑洞路由的目的地址,则该路由的报文会被丢弃。

      连接类型

      选择连接类型“云防火墙(CFW)”

      下一跳

      在下拉列表中,选择自动生成的防火墙连接(cfw-er-auto-attach)。

      描述

      (可选)路由的描述信息。

  7. 配置传播路由表er-RT2:设置关联和传播功能。

    1. 在路由表设置页面,单击“关联”页签,选择用于连接防火墙的路由表(er-RT2),单击“创建关联”

      图 创建关联,参数详情见表 创建关联参数说明

      图5 创建关联
      表6 创建关联参数说明

      参数名称

      参数说明

      连接类型

      选择连接类型“云防火墙(CFW)”

      连接

      在下拉列表中,选择自动生成的防火墙连接(cfw-er-auto-attach)。

    2. 创建同一路由表(er-RT2)的传播功能。单击“传播”页签,单击“创建传播”

      图 创建传播,参数详情见表 创建传播参数说明

      图6 创建传播
      表7 创建传播参数说明

      参数名称

      参数说明

      取值样例

      连接类型

      选择连接类型“虚拟私有云(VPC)”

      虚拟私有云(VPC)

      连接

      在传播下拉列表中,选择需防护的VPC连接。

      vpc-1

      表8 创建传播参数说明

      参数名称

      参数说明

      取值样例

      连接类型

      选择连接类型“虚拟私有云(VPC)”

      虚拟私有云(VPC)

      连接

      在传播下拉列表中,选择需防护的VPC连接。

      vpc-2

      • 传播至少需要添加两条,每增加一个防护的VPC,都需增加一条传播。

        例如:选择VPC1的连接vpc-1以及VPC2的连接vpc-2,需防护VPC3时,增加一条传播,选择连接vpc-3。

      • 创建传播后,会自动将连接的路由信息学习到ER路由表中,生成“传播路由”。同一个路由表中,不同传播路由的目的地址可能相同,连接配置不支持修改和删除。
      • 您也可以手动在路由表中配置连接的静态路由,同一个路由表中,静态路由的目的地址不允许重复,连接配置支持修改和删除。
      • 如果路由表中存在多条路由目的地址相同,则优先级:静态路由 > 传播路由。

  8. 修改VPC的路由表,将VPC1的路由指向VPC2,VPC2的路由指向VPC1。

    1. 返回至企业路由器服务页面,在左侧导航栏中,选择网络 > 虚拟私有云 > 路由表,进入“路由表”页面。
    2. “名称/ID”列,单击对应VPC的路由表名称,进入路由表“基本信息”页面。
    3. 单击“添加路由”,主要参数填写如下:
      • VPC1(172.16.0.0/16)中添加路由:
        • 目的地址类型:选择“IP地址”
        • 目的地址:172.18.0.0/16
        • 下一跳类型:企业路由器
      • VPC2(172.18.0.0/16)中添加路由:
        • 目的地址类型:选择“IP地址”
        • 目的地址:172.16.0.0/16
        • 下一跳类型:企业路由器

步骤三:开启VPC防护并验证流量正常通信

  1. 在左侧导航栏中,选择资产管理 > VPC边界防火墙管理,进入“VPC边界防火墙管理”页面。
  2. “防火墙状态”侧,单击“开启防护”
  3. 单击“确认”,完成开启VPC边界防火墙。
  4. 生成流量,请参见验证网络互通情况
  5. 查看日志:在左侧导航栏中,选择日志审计 > 日志查询 ,选择流量日志 > VPC边界防火墙页签。

步骤四:配置防护规则并查看防护效果

  1. 在左侧导航栏中,选择访问控制 > 访问策略管理,选择“VPC边界”页签,进入VPC边界管理页面。
  2. 添加三条防护规则。

    单击“添加”,在弹出的“添加防护规则”中,填写新的防护信息,其余参数可根据业务部署填写。
    • 一条阻断所有流量。
      • 源:Any
      • 目的:Any
      • 服务:Any
      • 应用:Any
      • 动作:阻断
    • 一条放行VPC1到VPC2的流量
      • 源:选择“IP地址”、填写172.16.0.0/16。
      • 目的:选择“IP地址”、填写172.18.0.0/16。
      • 服务:Any
      • 应用:Any
      • 动作:放行
    • 一条放行VPC2到VPC1的流量
      • 源:选择“IP地址”、填写172.18.0.0/16。
      • 目的:选择“IP地址”、填写172.16.0.0/16。
      • 服务:Any
      • 应用:Any
      • 动作:放行

  3. 通过访问控制日志查看命中详情。

    在左侧导航栏中,选择日志审计 > 日志查询。默认进入“攻击事件日志”页面,选择“访问控制日志”页签,切换至“VPC边界防火墙”页签。

相关文档

需要增加其他防护规则时,请参见防护规则的详细参数说明添加防护规则