文档首页/ 云防火墙 CFW/ 用户指南/ 云防火墙防护/ 开启VPC边界流量防护/ 企业路由器模式（新版）/ 配置企业路由器并将流量引至云防火墙

更新时间：2025-12-17 GMT+08:00

查看PDF

配置企业路由器并将流量引至云防火墙

在通过云防火墙实现VPC间流量防护的场景中，配置企业路由器是核心前提和关键支撑，其必要性具体表现在以下几个方面：

核心作用：为VPC间流量提供必经引流通道。
CFW本身不直接对接VPC路由转发，需依赖企业路由器作为“流量枢纽”，将VPC间的通信流量强制引流至CFW进行防护。
路由管理：实现精细化的流量路径控制
 ER通过“路由表关联/传播”功能，精准定义VPC与CFW间的流量走向，解决多VPC场景下的路由冲突与路径混乱问题。
跨VPC通信支撑：打破VPC网络隔离，同时保障防护不缺位
 VPC的核心特性是网络隔离，默认情况下不同VPC无法直接通信，而ER的核心能力是跨VPC互联，但单纯的ER互联缺乏安全防护，此时，ER和CFW两者结合可实现“互联 + 防护”的双重需求。
多场景适配：支撑复杂部署需求，确保防护扩展性
 ER的配置设计可适配多VPC扩展、跨账号防护等复杂场景，为CFW防护提供扩展性，无需重构防护架构或重复搭建链路。

本文介绍如何通过企业路由器将流量引至云防火墙，并验证网络连通性，确保所有流量均经过安全检查，从而提升资产的安全性。

前提条件

流量互通，确定流量未经过防火墙时正常通信。流量验证请参见验证网络互通情况。

配置原理和流程

配置路由器并将流量引至云防火墙的操作，本质是通过路由规则与流量转发策略的协同，强制VPC间的流量经过云防火墙的安全检测与过滤。

此处以两个VPC间流量互访为例进行说明，流量从VPC1/VPC2经过企业路由器转发到CFW，CFW根据防护策略筛选后，将允许的流量放行至企业路由器，再由企业路由器转发至VPC2/VPC1。具体流量走势如下所示：

图1 流量走势图

操作流程如下所示：

图2 操作流程

在此流程中需创建两张专用路由表：

路由表1（er-RT1，关联路由表）：绑定VPC1、VPC2的连接，配置路由规则将VPC流量指向CFW（下一跳为CFW自动生成的连接cfw-er-auto-attach），确保VPC出向流量进入防护；
路由表2（er-RT2，传播路由表）：绑定CFW的连接，通过“传播功能”自动学习VPC1、VPC2的路由信息，确保CFW处理后的回程流量能正确回传至目标VPC。

约束与限制

在配置路由时，不建议在VPC路由表中将ER的路由配置为默认路由网段0.0.0.0/0。如果VPC内的ECS绑定了EIP，会在ECS内增加默认网段的策略路由，并且优先级高于ER路由，此时会导致流量转发至EIP，无法抵达ER。所以，当VPC和ER组网存在以下情况时，不建议您在VPC路由表中将下一跳为ER的路由配置为默认路由0.0.0.0/0，否则会导致部分业务流量无法转发至ER。

VPC内的ECS绑定了EIP；
VPC内部署了ELB、NAT网关、VPCEP、DCS服务。

以上场景配置路由的具体解决方法可参见如何解决VPC路由表中的0.0.0.0/0路由无法转发至ER的问题。

将流量引至云防火墙

根据当前业务是否已配置企业路由器，选择配置方式。

创建VPC边界防火墙，具体操作请参见创建VPC边界防火墙。
（可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
在左侧导航栏中，选择“资产管理 > VPC边界防火墙管理”，进入“VPC边界防火墙管理”页面。
添加VPC连接。

单击“防火墙状态”侧的“编辑防护VPC”，进入企业路由器页面，在企业路由器中添加连接，支持添加的连接类型请参见连接概述。

下文以防护两个VPC为例（至少需要添加两条VPC连接，用于连接两个VPC和ER之间）。操作步骤请参见企业路由器中添加VPC连接。

图3 添加VPC连接
- 防火墙创建后自动生成一条防火墙连接（名称：cfw-er-auto-attach，连接类型：云防火墙（CFW）），防护VPC的连接需手动添加；每增加一个防护的VPC，都需要增加一条连接。
  例如：对VPC1连接命名为vpc-1；对VPC2连接命名为vpc-2，需防护VPC3时，增加连接命名为vpc-3。
- 如需防护其它账号（如账号B）下的VPC，请将当前账号A的企业路由器共享至账号B，共享步骤请参见创建共享，共享成功后在账号B中添加连接，后续配置仍在账号A中进行。

创建两个路由表，作为关联路由表和传播路由表分别用于连接需防护的VPC和连接防火墙。

单击“路由表”页签，进入路由表设置页面，单击“创建路由表”，参数详情见表1。

表1 创建路由表参数说明
参数名称	参数说明
名称	输入路由表的名称。命名规则如下：长度范围为1~64位。名称由中文、英文字母、数字、下划线（_）、中划线（-）、点（.）组成。
描述	您可以根据需要在文本框中输入对该路由表的描述信息。
标签	您可以在创建路由表的时候为路由表绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。关于标签更详细的说明，请参见标签概述。

配置关联路由表。

设置关联功能：在路由表设置页面，选择关联路由表，单击“关联”页签，单击“创建关联”，参数详情见表2。

关联至少需要添加两条，每增加一个防护的VPC，都需增加一条关联。

例如：选择VPC1的连接vpc-1以及VPC2的连接vpc-2，需防护VPC3时，增加一条关联，选择连接vpc-3。

图4 创建关联

表2 创建关联参数说明
参数名称	参数说明
连接类型	选择连接类型“虚拟私有云（VPC）”。
连接	在连接下拉列表中，选择需防护的VPC连接。

设置路由功能：单击“路由”页签，单击“创建路由”，根据实际数量创建路由功能，参数详情见表3。

图5 创建路由

表3 创建路由参数说明
参数名称	参数说明
目的地址	设置目的地址。 0.0.0.0/0：VPC的所有流量（IPv4）都会经过云防火墙防护。网段：该网段的流量会经过云防火墙防护。
黑洞路由	建议您保持关闭状态；开启后如果路由匹配上黑洞路由的目的地址，则该路由的报文会被丢弃。
连接类型	选择连接类型“云防火墙（CFW）”。
下一跳	在下拉列表中，选择自动生成的防火墙连接（cfw-er-auto-attach）。
描述	（可选）路由的描述信息。

配置传播路由表。

设置关联功能：在路由表设置页面，选择传播路由表，单击“关联”页签，单击“创建关联”，参数详情见表4。

图6 创建关联

表4 创建关联参数说明
参数名称	参数说明
连接类型	选择连接类型“云防火墙（CFW）”。
连接	在下拉列表中，选择自动生成的防火墙连接（cfw-er-auto-attach）。

设置传播功能：单击“传播”页签，单击“创建传播”，参数详情见表5。

图7 创建传播

表5 创建传播参数说明
参数名称	参数说明
连接类型	选择连接类型“虚拟私有云（VPC）”。
连接	在传播下拉列表中，选择需防护的VPC连接。

传播至少需要添加两条，每增加一个防护的VPC，都需增加一条传播。
例如：选择VPC1的连接vpc-1以及VPC2的连接vpc-2，需防护VPC3时，增加一条传播，选择连接vpc-3。
创建传播后，会自动将连接的路由信息学习到ER路由表中，生成“传播路由”。同一个路由表中，不同传播路由的目的地址可能相同，连接配置不支持修改和删除。
您也可以手动在路由表中配置连接的静态路由，同一个路由表中，静态路由的目的地址不允许重复，连接配置支持修改和删除。
如果路由表中存在多条路由目的地址相同，则优先级：静态路由 > 传播路由。

修改VPC的路由表。

在左侧导航栏中，选择“网络 > 虚拟私有云 > 路由表”，进入“路由表”页面。
在“名称/ID”列，单击对应VPC的路由表名称，进入路由表“基本信息”页面。

单击“添加路由”，参数详情见表6。

至少需要为两个VPC添加路由，每增加一个防护的VPC，都需为该VPC增加一条路由。

表6 添加路由参数说明
参数	说明
目的地址类型	选择“IP地址”。
目的地址	填写流量到达的网段。填写说明举例：如果是两个VPC间的防护，则此处需要在VPC1中添加的路由“目的地址”中填写为VPC2的网段。
下一跳类型	在下拉列表中，选择类型“企业路由器”。
下一跳	选择下一跳资源。下拉列表中将展示您创建的企业路由器名称。
描述	（可选）路由的描述信息。描述信息内容不能超过255个字符，且不能包含“<”和“>”。

单击“确定”。

已创建VPC边界防火墙，具体操作请参见创建VPC边界防火墙。
登录ER控制台。
单击管理控制台左上角的，选择区域。
从默认路由表er-RT1中删除防火墙VPC(vpc-cfw-er)的关联和传播。

选择“路由表 > 关联”，在防火墙VPC行的“操作”列，单击“删除”，在删除确认框中，单击“是”。

选择“传播”，在防火墙VPC行的“操作”列，单击“删除”，在删除确认框中，单击“是”。

创建路由表er-RT2。

单击页面左上角“创建路由表”。参数详情见表7。

表7 创建路由表参数说明
参数名称	参数说明	取值样例
名称	输入路由表的名称。要求如下：长度范围为1~64位。名称由中文、英文字母、数字、下划线（_）、中划线（-）、点（.）组成。	er-RT2
标签	您可以在创建路由表的时候为路由表绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。关于标签更详细的说明，请参见标签概述。	“标签键”：test “标签值”：01
描述	您可以根据需要在文本框中输入对该路由表的描述信息。	-

配置路由表er-RT2：设置关联和传播功能。

选择路由表er-RT2，单击“关联”页签，单击“创建关联”。如图创建关联，参数详情见表8 。

图8 创建关联

表8 创建关联参数说明
参数名称	参数说明	取值样例
连接类型	选择连接类型“云防火墙（CFW）”。	云防火墙（CFW）
连接	在连接下拉列表中，选择防火墙VPC的连接。	cfw-er-auto

创建同一路由表(er-RT2)的传播功能。单击“传播”页签，单击“创建传播”。参数详情见表9。

图9 创建传播

表9 创建传播参数说明
参数名称	参数说明	取值样例
连接类型	选择连接类型“虚拟私有云（VPC）”。	虚拟私有云（VPC）
连接	在传播下拉列表中，选择需防护的VPC连接。	vpc-1

**表10** 创建传播参数说明
参数名称	参数说明	取值样例
连接类型	选择连接类型“虚拟私有云（VPC）”。	虚拟私有云（VPC）
连接	在传播下拉列表中，选择需防护的VPC连接。	vpc-2

传播至少需要添加两条，每增加一个防护的VPC，都需增加一条传播。
例如：选择VPC1的连接vpc-1以及VPC2的连接vpc-2，需防护VPC3时，增加一条传播，选择连接vpc-3。
创建传播后，会自动将连接的路由信息学习到ER路由表中，生成“传播路由”。同一个路由表中，不同传播路由的目的地址可能相同，连接配置不支持修改和删除。
您也可以手动在路由表中配置连接的静态路由，同一个路由表中，静态路由的目的地址不允许重复，连接配置支持修改和删除。
如果路由表中存在多条路由目的地址相同，则优先级：静态路由 > 传播路由。

配置默认路由表er-RT1：
1. 添加静态路由。选择路由表er-RT1，单击“路由”页签，单击“创建路由”，填写信息如下：
  - 目的地址：0.0.0.0/0
  - 连接类型：“云防火墙（CFW）”
  - 下一跳：选择防火墙VPC的连接（cfw-er-auto）
  图10 添加静态路由
2. 删除路由表er-RT1中的所有传播。
  单击“传播”页签，在“操作”列中，单击“删除”，在删除确认框中，单击“是”。
（可选）建议您将当前企业路由器的传播路由表改为新创建的路由表（er-RT2），后续添加新VPC时，仅需添加连接，无需进行其它操作。

返回或进入“企业路由器”，单击“更多 > 修改配置”，选择传播路由表为er-RT2。如图11所示。
图11 修改配置

如需防护其它账号（如账号B）下的VPC，请将当前账号A的企业路由器共享至账号B，共享步骤请参见创建共享，共享成功后在账号B中添加连接即可完成配置。