创建VPC边界防火墙

前提条件

约束条件

仅“专业版”支持VPC边界防火墙。

创建说明

创建VPC边界防火墙

1. 登录CFW控制台。
2. 单击管理控制台左上角的，选择区域。
3. （可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
4. 在左侧导航栏中，选择“资产管理 > VPC边界防火墙管理”，进入“VPC边界防火墙管理”页面。
5. 单击“创建VPC间防火墙”。
6. 在弹框中“路由方式”选择“企业路由器”，单击“下一步”。
7. 选择企业路由器并配置合适的网段。
   图1 创建VPC边界防火墙
   
   • 企业路由器用于引流，选择时需满足以下限制：
     • 没有与其它防火墙实例关联。
     • 需归属本账号，非共享企业路由器。
     • 需关闭“默认路由表关联”、“默认路由表传播”和“自动接收共享连接”功能。
   • 网段配置后默认创建InspectionVPC将流量转发至云防火墙，并自动分配云墙关联子网，将云防火墙流量转发到企业路由器，选择时需注意以下限制：
     • 资源归属与网段规划：InspectionVPC不归属用户账户（不在用户账户资源列表中显示），但需由用户自主规划其网段。网段可用空间越大，云防火墙后续扩容（如增加防护节点、扩展流量处理能力）的灵活性越高。
     • 网段冲突规避：规划的InspectionVPC网段，不得与当前已接入防护的业务网段重合，也需避免与后续拟接入防护的业务网段冲突，防止流量路由异常。
       • 仅支持私网地址段（即在10.0.0.0/8、172.16.0.0/12、192.168.0.0/16范围中），否则可能在SNAT等访问公网的场景下产生路由冲突。
       • 10.6.0.0/16-10.7.0.0/16网段为防火墙保留网段，不可使用。
     • 网段掩码限制：因云防火墙需预留部分地址用于运维管理、系统更新等核心操作，故InspectionVPC的网段掩码不允许小于 / 24（即子网掩码不得大于255.255.255.0），否则将无法满足服务运行基础需求。
     • 创建后无法修改：东西向引流场景下，InspectionVPC的网段一旦设置完成，暂不支持后续修改。因此，强烈建议在配置前充分评估后续业务扩展需求，提前预留网段冗余。具体可参考下表配置InspectionVPC的网段掩码，确保满足长期使用需求：

       网段掩码	支持防护的最大流量
       / 24	20 Gbps
       / 23	45 Gbps
       / 22	95 Gbps
       / 21	195 Gbps
       / 20	395 Gbps

   • 如果您参数界面如图 创建VPC间防火墙所示，则您目前云防火墙版本为旧版，VPC边界防火墙配置请参见企业路由器模式（旧版）。
     图2 创建VPC边界防火墙（旧版）
     

8. 单击“确认”，需等待3-5分钟，完成防火墙创建。

   创建过程中您只能浏览“总览”页，防火墙的“状态”会变为“升级中”。

相关文档

关闭防火墙：防火墙创建后不支持删除和退订，您可以关闭防火墙的防护请参见关闭VPC边界防护，如果业务后续不再需要VPC边界流量防护，在关闭后，需要手动恢复企业路由器（ER）的配置。