更新时间:2024-12-18 GMT+08:00
分享

创建VPC边界防火墙

VPC边界防火墙能够检测和统计VPC间的通信流量数据,帮助您发现异常流量。开启VPC边界防火墙之前,您需要先创建VPC边界防火墙并关联企业路由器。

前提条件

当前账号下需存在可用的企业路由器(企业路由器限制)。

创建说明

创建防火墙时为了引流需选择企业路由器和配置IPV4网段。
  • 企业路由器用于引流,选择时需满足以下限制:
    • 没有与其它防火墙实例关联。
    • 需归属本账号,非共享企业路由器。
    • 需关闭“默认路由表关联”“默认路由表传播”“自动接收共享连接”功能。
  • 网段用于将流量转发至云防火墙,选择时需注意以下限制:
    • 该网段不可与需要开启防护的私网网段重合,否则会导致路由冲突。
    • 10.6.0.0/16-10.7.0.0/16网段为防火墙保留网段,不可使用。

创建VPC边界防火墙

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  5. 在左侧导航栏中,选择资产管理 > VPC边界防火墙管理,进入“VPC边界防火墙管理”页面。
  6. 单击“创建防火墙”,选择企业路由器并配置合适的网段。

    图1 创建VPC边界防火墙
    • 企业路由器用于引流,选择时需满足以下限制:
      • 没有与其它防火墙实例关联。
      • 需归属本账号,非共享企业路由器。
      • 需关闭“默认路由表关联”“默认路由表传播”“自动接收共享连接”功能。
    • 网段配置后默认创建InspectionVPC将流量转发至云防火墙,并自动分配云墙关联子网,将云防火墙流量转发到企业路由器,选择时需注意以下限制:
      • 创建防火墙后不支持修改网段。
      • 该网段需满足以下条件:
        • 仅支持私网地址段(即在10.0.0.0/8、172.16.0.0/12、192.168.0.0/16范围中),否则可能在SNAT等访问公网的场景下产生路由冲突,
        • 10.6.0.0/16-10.7.0.0/16网段为防火墙保留网段,不可使用。
        • 不可与需要开启防护的私网网段重合,否则会因路由冲突,导致该网段无法防护。
    • 如果您参数界面如图 创建VPC间防火墙所示,则您目前云防火墙版本为旧版,VPC边界防火墙配置请参见企业路由器模式(旧版)
      图2 创建VPC边界防火墙(旧版)

  7. 单击“确认”,需等待3-5分钟,完成防火墙创建。

    创建过程中您只能浏览“概览”页,防火墙的“状态”会变为“升级中”

相关操作

关闭防火墙:防火墙创建后不支持删除和退订,您可以关闭防火墙的防护请参见关闭VPC边界防护,如果业务后续不再需要VPC边界流量防护,在关闭后,需要手动恢复企业路由器(ER)的配置

相关文档