更新时间:2024-10-10 GMT+08:00
创建VPC边界防火墙
VPC边界防火墙能够检测和统计VPC间的通信流量数据,帮助您发现异常流量。开启VPC边界防火墙之前,您需要先创建VPC边界防火墙并关联企业路由器。
前提条件
创建说明
创建VPC边界防火墙
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域。 - 在左侧导航栏中,单击左上方的
,选择,进入云防火墙的总览页面。 - (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择,进入“VPC边界防火墙管理”页面。
- 单击“创建防火墙”,选择企业路由器并配置合适的网段。
图1 创建VPC边界防火墙
- 企业路由器用于引流,选择时需满足以下限制:
- 没有与其它防火墙实例关联。
- 需归属本账号,非共享企业路由器。
- 需关闭“默认路由表关联”、“默认路由表传播”和“自动接收共享连接”功能。
- 网段配置后默认创建InspectionVPC将流量转发至云防火墙,并自动分配云墙关联子网,将云防火墙流量转发到企业路由器,选择时需注意以下限制:
- 创建防火墙后不支持修改网段。
- 该网段需满足以下条件:
- 仅支持私网地址段(即在10.0.0.0/8、172.16.0.0/12、192.168.0.0/16范围中),否则可能在SNAT等访问公网的场景下产生路由冲突,
- 10.6.0.0/16-10.7.0.0/16网段为防火墙保留网段,不可使用。
- 不可与需要开启防护的私网网段重合,否则会因路由冲突,导致该网段无法防护。
- 如果您参数界面如图 创建VPC间防火墙所示,则您目前云防火墙版本为旧版,VPC边界防火墙配置请参见企业路由器模式(旧版)。
- 企业路由器用于引流,选择时需满足以下限制:
- 单击“确认”,需等待3-5分钟,完成防火墙创建。
创建过程中您只能浏览“概览”页,防火墙的“状态”会变为“升级中”。
相关操作
关闭防火墙:防火墙创建后不支持删除和退订,您可以关闭防火墙的防护请参见关闭VPC边界防护,如果业务后续不再需要VPC边界流量防护,在关闭后,需要手动恢复企业路由器(ER)的配置。
