更新时间:2024-10-09 GMT+08:00

VPC边界防火墙概述

VPC边界防火墙支持VPC之间通信流量的访问控制,实现内部业务互访活动的可视化与安全防护。

支持的防护对象

  • 虚拟私有云(VPC)
  • 虚拟网关(VGW)
  • VPN网关(VPN)
  • 企业连接网(ECN)
  • 全球接入网关(DGW)

约束条件

  • “专业版”支持VPC边界防火墙。
  • 依赖企业路由器(Enterprise Router, ER)服务引流。
  • 仅支持防护当前账号所属企业项目下的VPC。
  • 如果您存在私用公网(即使用10.0.0.0/8、 172.16.0.0/12、192.168.0.0/16 以及运营商级NAT保留网段100.64.0.0/10 以外的公网网段作为私网地址段)的情况,请您提交工单进行私网网段扩容,否则云防火墙可能无法正常转发您VPC间的流量。

配置及使用流程

VPC边界防火墙企业路由器模式因版本依赖,在不同局点上有着“新版”“旧版”两个版本。
表1 企业路由器模式(新版)配置及使用流程

操作步骤

操作说明

创建VPC边界防火墙

为VPC边界防火墙规划用于引流的网段。

说明:

引流VPC不会创建在您的账号上,即不占用您的防护VPC个数。

配置企业路由器并将流量引至云防火墙

通过企业路由器连通VPC和云防火墙之间的流量。
  • 为防护VPC添加连接,建立VPC与ER之间的网络互通。
  • 在企业路由器中创建两个路由表作为关联路由表和传播路由表,将VPC和防火墙之间的流量互相传输。
  • 为VPC添加一条指向企业路由器的路由。

开启VPC边界防火墙并确认流量经过云防火墙

开启VPC边界流量防护,并验证流量是否经过云防火墙。

VPC边界防护规则

通过防护规则放行/拦截流量(放行后的流量会经过入侵防御IPS、病毒防御等功能的检测)。

通过添加黑白名单拦截/放行流量

通过黑白名单放行/拦截流量(放行/拦截的流量,不再经过其它功能的检测)。

访问控制日志

查看防护策略是否生效。

新增防护VPC

需要新增防护的VPC时,执行本节操作。

下图为企业路由器模式(旧版)的配置流程:
图3 企业路由器模式配置流程