SNAT防护概述

背景信息

云防火墙标准版实现公网IP之间的防护，例如通过NAT网关实现多个VPC/子网使用公网IP对外发起访问的场景，云防火墙专业版提供更细粒度的访问控制，例如使用私网IP对公网发起访问的场景。

本文介绍如何配置云防火墙专业版实现SNAT场景下私网IP对公网发起访问的防护。

前提条件

• 配置中需要使用企业路由器（Enterprise Router, ER），关于企业路由器请参见什么是企业路由器？。
• 需完成创建防火墙，具体配置请参见创建防火墙。

约束条件

• 仅“专业版”支持私网IP的访问控制。
• 云防火墙当前默认支持标准私网网段，如需开通非标网段通信，请提交工单申请。

SNAT防护组网图

请求流量和响应流量为同一个路径。

配置建议

• 建议为NAT网关创建独立VPC不用于云服务器等实例网络配置，避免影响后续的访问控制。
• 在前期网络规划复杂甚至不合理的情况下（例如存在VPC网段重叠、NAT网关已有复杂配置、已通过VPC-Peering配置东西向通信等场景下），请充分评估网络互连、环路、路由冲突等风险。
• 因涉及组件多，不建议直接将现网业务导入，可先创建测试机，并在业务VPC路由表中配置目的地址路由，利用业务VPC中的测试机验证整个业务流是否走通及配置的规则是否有效，再对现网业务进行切流。
• 使用云防火墙后，避免第一时间配置拦截规则。建议首先验证流量接入防火墙后业务是否正常，逐步增加规则，并及时验证功能，一旦发现有问题，需及时关闭防护，避免现网业务受损。
• 对于SNAT EIP，外到内无法主动访问，内到外的访问控制规则使用的是互联网边界防护的能力，建议不在“弹性公网IP管理”页面中对SNAT所绑定的EIP开启防护，避免规则和日志混乱。

配置流程

1. 将VPC1和VPC-NAT接入企业路由器中
2. 配置NAT网关
3. 配置VPC1路由表
4. （可选）使用业务VPC下的测试机访问外网测试网络连通性，正常访问则证明NAT配置成功。
5. 开启VPC间防火墙防护，请参见开启VPC间防火墙。
6. （可选）再次使用业务VPC下测试机进行网络连通性测试，查看防火墙流量日志中有响应记录，则证明防火墙引流成功。查询流量日志请参见流量日志。
7. 在防火墙上配置NAT防护规则。
8. （可选）使用测试机，访问IP或域名，查看访问控制日志是否有命中该条规则的日志，有则证明防护规则生效，查询访问控制日志请参见访问控制日志。
9. 在验证通过后，逐步切换类生产/现网业务到云防火墙。
   图1 SNAT防护配置流程