开启VPC边界防火墙并确认流量经过云防火墙

操作场景

完成创建VPC边界防火墙并关联企业路由器后，防火墙默认为“未开启”状态，此时防火墙引擎不会对数据包做解析，业务仍未受到安全防护。您可选择手动开启VPC边界防火墙功能，根据实际需求灵活配置安全策略。开启防护后，通过跨VPC业务访问产生测试流量，结合云防火墙流量日志核验引流转发状态，确认流量正常经过防火墙检测过滤，保障内网边界安全防护生效。

本章节将介绍如何开启VPC边界防火墙并确认流量经过云防火墙。

开启VPC边界防火墙

1. 登录云防火墙控制台。
2. 单击管理控制台左上角的，选择区域。
3. （可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
4. 在左侧导航栏中，选择“资产管理 > VPC边界防火墙管理”，进入“VPC边界防火墙管理”页面。
5. 单击“防火墙状态”侧的，并在弹出的确认框中单击“确定”，开启VPC边界防火墙。

验证流量是否经过云防火墙

1. 生成流量，请参见验证网络互通情况。
2. 查看日志：在左侧导航栏中，选择“日志审计 > 日志查询”，选择“流量日志 > VPC边界防火墙”页签。
   • 有日志记录：云防火墙已成功防护VPC间流量。
   • 无日志记录，排查企业路由器配置，请参见配置企业路由器并将流量引至云防火墙。

后续操作

开启VPC边界流量防护后，您的业务流量将经过云防火墙，默认情况下，所有流量都会被放行。您可以根据需要查看流量趋势或为VPC边界防火墙配置访问控制策略、攻击防御策略等，以便更好地管控VPC与线下数据中心IDC、VPC与VPC之间的流量。

• 查看流量趋势及流量日志：
  • 查看经过云防火墙的流量趋势和统计结果，请参见流量分析。
  • 查看经过云防火墙的所有流量日志，请参见流量日志。
• 配置防护规则，进行精细化流量管控：

  开启防护后，流量默认放行，云防火墙根据您设置的策略实施拦截：

  • 通过防护规则放行/拦截流量，详细操作请参见通过防护规则拦截/放行VPC边界流量。
  • 通过黑白名单放行/拦截流量，详细操作请参见通过黑/白名单拦截/放行VPC边界流量。
• 防御网络攻击：通过配置入侵防御来进行处理，详细操作请参见配置IPS基础防御。
• 新增防护VPC：如果您需要添加新的防护VPC，请参见新增防护VPC。

相关操作

• 关闭VPC边界流量防护：如果不再需要对VPC边界流量进行防护，可以关闭防护，具体操作请参见关闭VPC边界防护。
• 新增防护VPC：如果您需要添加新的防护VPC，请参见新增防护VPC进行处理。