文档首页/ 云防火墙 CFW/ 用户指南/ 云防火墙防护/ 开启NAT网关流量防护
更新时间:2025-06-12 GMT+08:00
查看PDF
分享

开启NAT网关流量防护

操作场景

当VPC内的资源(如ECS)通过NAT网关访问互联网时,可能存在未授权访问、数据泄露或恶意攻击等安全风险。为应对这些风险,云防火墙提供业务VPC与NAT网关之间流量的防护,能够有效阻断非法外联和恶意流量,并支持基于私网IP实现细粒度访问控制,拦截未授权的流量访问。

本章节介绍如何通过VPC边界防火墙对NAT网关流量开启防护,如果业务流量通过EIP连接公网请参见开启互联网边界流量防护

什么是NAT网关流量

NAT网关流量是NAT网关和互联网之间的通信流量,分为两种防护场景:

  • 通过NAT网关绑定的弹性公网IP(EIP)连接公网,云防火墙会防护所有经过NAT网关的流量,适用于防护粒度较粗的场景。
    图1 通过EIP防护NAT网关
  • 创建VPC边界防火墙,借助企业路由器(ER),接入NAT网关所在的VPC与业务VPC之间,能够防护私网IP的流量。
    图2 通过VPC防护NAT网关

NAT网关流量防护介绍视频

组网图

SNAT和DNAT的防护组网图如下:

SNAT防护提供主动外联场景的细粒度访问控制,适用于NAT网关所在VPC与业务VPC隔离,并通过多个VPC/子网使用公网IP对外发起访问的场景。

当弹性云服务器(ECS)发起外网访问时,流量经过企业路由器(ER)转发到防火墙,防火墙根据配置的SNAT防护规则筛选流量(阻断\放行),将安全的流量放行至ER,转发到NAT网关,通过SNAT规则转发到互联网。

DNAT防护提供外网访问内部资源场景的细粒度访问控制,适用于NAT网关所在VPC与业务VPC隔离,多个VPC/子网使用NAT对外提供访问的场景。

当互联网发起对内部资源的访问时,流量经过NAT网关的DNAT规则转发到企业路由器(ER),ER将流量转发至防火墙,防火墙根据配置的SNAT防护规则筛选流量(阻断\放行),将安全的流量放行至ER,转发到业务VPC。

对业务的影响

  • 开启或关闭VPC防护前,如果不存在阻断所有流量的防护规则或黑名单,则不会造成业务中断,保证流量平滑切换。
  • 开启VPC防护前,如果有阻断所有流量的防护规则或黑名单,则会在开启时对该VPC生效,可能导致业务中断;建议开启防护前排查是否存在长连接且不支持会话重建的业务。

约束条件

  • “专业版”支持NAT网关流量防护。
  • 依赖企业路由器(Enterprise Router,ER)服务引流。
  • 云防火墙当前默认支持标准私网网段,如果您需要配置其它的网段,请您修改私网网段提交工单进行私网网段扩容,否则云防火墙可能无法正常转发您VPC间的流量。
  • 如要实现DNAT网关向CFW集群东西向引流并配置DNAT规则,需提工单联系服务运维人员支撑防火墙升级,避免因旧版本不支持DNAT可能引起的流量受损风险。

开启NAT网关流量防护

需完成创建防火墙,具体配置请参见创建VPC边界防火墙

步骤一:将VPC1和VPC-NAT接入企业路由器中

  1. 添加VPC连接。
    操作步骤请参见企业路由器中添加VPC连接

    连接需要添加两条,“连接资源”分别选择VPC1和VPC-NAT。

  2. 创建两个路由表。
    1. 在左侧导航栏中,单击左上方的,选择网络 > 企业路由器,单击“管理路由表”,进入“路由表”页面。
    2. 创建两个路由表,作为关联路由表传播路由表分别用于连接需防护的VPC和连接防火墙。

      单击“路由表”页签,进入路由表设置页面,单击“创建路由表”,参数详情见表1

      表1 创建路由表参数说明

      参数名称

      参数说明

      名称

      输入路由表的名称。

      命名规则如下:
      • 长度范围为1~64位。
      • 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。

      描述

      您可以根据需要在文本框中输入对该路由表的描述信息。

      标签

      您可以在创建路由表的时候为路由表绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。

      关于标签更详细的说明,请参见标签概述
  3. 设置关联路由表。
    1. 设置关联功能,添加VPC1和VPC-NAT的连接:在路由表设置页面,选择关联路由表,单击“关联”页签,单击“创建关联”,参数详情见表2

      需要增加两条关联“连接”分别选择VPC1和VPC-NAT的连接。

      表2 创建关联参数说明

      参数名称

      参数说明

      连接类型

      选择连接类型“虚拟私有云(VPC)”

      连接

      在连接下拉列表中,选择VPC连接。
    2. 添加静态路由,指向防火墙:单击“路由”页签,单击“创建路由”,参数详情见表3
      图3 创建路由
      表3 创建路由参数说明

      参数名称

      参数说明

      目的地址

      设置目的地址。

      • 0.0.0.0/0:VPC的所有流量(IPv4)都会经过云防火墙防护。
      • 网段:该网段的流量会经过云防火墙防护。

      黑洞路由

      建议您保持关闭状态;开启后如果路由匹配上黑洞路由的目的地址,则该路由的报文会被丢弃。

      连接类型

      选择连接类型“云防火墙(CFW)”

      下一跳

      在下拉列表中,选择自动生成的防火墙连接(cfw-er-auto-attach)。

      描述

      (可选)路由的描述信息。
  4. 设置传播路由表。
    1. 设置传播功能,添加VPC1的传播:在路由表设置页面,选择传播路由表,单击“传播”页签,单击“创建传播”,参数详情见表4
      图4 创建传播
      表4 创建传播参数说明

      参数名称

      参数说明

      连接类型

      选择连接类型“虚拟私有云(VPC)”

      连接

      在传播下拉列表中,选择VPC1的连接。
    2. 添加静态路由,指向VPC-NAT:单击“路由”页签,单击“创建路由”,参数详情见表5
      表5 创建路由参数说明

      参数名称

      参数说明

      目的地址

      设置目的地址,设置为:0.0.0.0/0。

      黑洞路由

      建议保持关闭状态;开启后如果路由匹配上黑洞路由的目的地址,则该路由的报文会被丢弃。

      连接类型

      选择连接类型“虚拟私有云(VPC)”

      下一跳

      在下拉列表中,选择VPC-NAT的连接。

步骤二:配置NAT网关

  1. 配置SNAT规则。
    1. 返回至企业路由器界面,在左侧导航栏中,选择网络 > NAT网关,进入“公网NAT网关”页面。
    2. 单击公网NAT网关的名称,进入“基本信息”页面,切换至“SNAT规则”页签。
    3. 单击“添加SNAT规则”,参数详情如表6所示。
      表6 添加SNAT规则

      参数名称

      参数说明

      使用场景

      SNAT规则使用的场景,选择“虚拟私有云”

      网段

      选择“自定义”子网,使云服务器通过SNAT方式访问公网

      • 自定义:自定义一个网段或者填写某个VPC的地址。

      弹性公网IP

      用来提供互联网访问的公网IP。

      这里只能选择没有被绑定的弹性公网IP,或者被绑定在当前公网NAT网关中非“所有端口”类型DNAT规则上的弹性公网IP,或者被绑定到当前公网NAT网关中SNAT规则上的弹性公网IP。

      可选择多条EIP添加在SNAT规则中。一条SNAT规则最多添加20个EIP。SNAT规则使用多个EIP时,业务运行时会随机选取其中的一个。

      监控

      为SNAT连接数设置告警。

      可通过设置告警及时了解SNAT连接数运行状况,从而起到预警作用。

      描述

      SNAT规则信息描述。最大支持255个字符。
  2. 配置是VPC-NAT的路由表。
    1. 在左侧导航栏中,选择网络 > 虚拟私有云 > 路由表,进入“路由表”页面。
    2. “名称”列,单击NAT网关对应VPC的路由表名称,进入路由表“基本信息”页面。
    3. 单击“添加路由”,参数详情见表7
      表7 添加路由参数说明

      参数

      说明

      目的地址类型

      选择“IP地址”

      目的地址

      目的地址网段,填写VPC1的IP地址。

      填写的网段不能与已有路由和VPC下子网网段冲突。

      下一跳类型

      在下拉列表中,选择类型“企业路由器”

      下一跳

      选择下一跳资源。

      下拉列表中将展示您创建的企业路由器名称。

      描述

      路由的描述信息,非必填项。

      描述信息内容不能超过255个字符,且不能包含“<”和“>”。

步骤三:配置VPC1路由表

  1. “路由表”页面的“名称”列,单击VPC1的路由表名称,进入路由表“基本信息”页面。
  2. 单击“添加路由”,参数详情见表8
    表8 添加路由参数说明

    参数

    说明

    目的地址类型

    选择“IP地址”

    目的地址

    目的地址网段,设置为:0.0.0.0/0。

    下一跳类型

    在下拉列表中,选择类型“企业路由器”

    下一跳

    选择下一跳资源。

    下拉列表中将展示您创建的企业路由器名称。

    描述

    路由的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

步骤四:开启VPC边界防火墙

  1. 在左侧导航栏中,选择资产管理 > VPC边界防火墙管理,进入“VPC边界防火墙管理”页面。
  2. “防火墙状态”侧,单击“开启防护”
  3. 单击“确认”,完成开启VPC边界防火墙。

后续操作

  • 实现私网IP的细粒度防护:配置NAT防护规则,配置方式请参见通过防护规则拦截/放行NAT网关边界流量
  • 实现网络攻击拦截:配置入侵防御功能,请参见配置入侵防御
  • 查看经过云防火墙的流量趋势和统计结果,请参见流量分析,详细流量记录请参见流量日志
  • 开启防护后,流量默认放行,云防火墙将根据您设置的策略实施拦截:
    • 如果希望实现流量管控,需配置防护策略,请参见通过防护规则拦截/放行NAT网关边界流量通过黑白名单拦截/放行流量
      • 通过防护规则放行/拦截流量:
        • 添加放行的防护规则:放行后的流量会经过入侵防御IPS、病毒防御等功能的检测。
        • 添加拦截的防护规则:流量将直接拦截。
      • 通过黑白名单放行/拦截流量:
        • 添加白名单:流量将直接放行,不再经过其他功能的检测。
        • 添加黑名单:流量将直接拦截。
    • 如果希望拦截网络攻击,请参见配置入侵防御

相关文档

关闭NAT网关防护请参见关闭VPC边界防护

父主题: 云防火墙防护