更新时间:2025-06-12 GMT+08:00
分享

VPC边界防火墙概述

云防火墙支持防护虚拟私有云(VPC)的流量,开启防护后,您的业务流量将经过云防火墙,默认情况下,所有流量都会被放行。

开启防护后,您可以根据业务需求,配置访问控制策略或IPS防护模式,云防火墙会根据配置,检测流量实施拦截/放行操作,配置访问控制策略请参见添加防护规则,IPS相关请参见配置入侵防御策略

本文介绍云防火墙VPC边界的基本概念和防护配置。

什么是VPC边界流量

VPC边界流量是VPC与线下数据中心IDC、VPC与VPC之间的通信流量(即东西向流量),您可以通过云防火墙配置VPC边界防火墙,借助企业路由器,实现内部业务互访活动的可视化与安全防护。

VPC边界防火墙支持跨账号防护功能。例如,A账号下有VPC_A,B账号下有VPC_B,您只需在A账号中配置企业路由器和云防火墙,将A账号的企业路由器共享至B账号,并添加VPC_B的连接,即可防护A、B两个账号下的VPC资源。

图1 VPC与IDC之间
图2 VPC与VPC之间

VPC边界流量防护介绍视频

支持的防护对象

  • 虚拟私有云(VPC)
  • 虚拟网关(VGW)
  • 虚拟专用网络(VPN)
  • 全域接入网关(DGW)

防护规格

VPC边界防火墙的防护规格分为防护VPC数和VPC边界防护带宽。

表1 VPC边界防火墙防护规格

防护规格

说明

包周期模式

按需计费模式

防护VPC数

当前防火墙实例可防护的VPC总数。

取决于您购买的“防护VPC数”,默认提供防护2个VPC、200MbpsVPC边界防护带宽的配额;如果配额不足,可以购买扩展包,具体操作请参见变更扩展包

提供防护20个VPC、1Gbps互联网边界+VPC边界防护带宽的配额,不支持扩容。

VPC边界防护带宽

当前防火墙实例可防护的VPC边界流量峰值。

约束条件

  • “专业版”支持VPC边界防火墙。
  • 单个防火墙实例默认支持防护的VPC个数如下:
    • 专业版(包年/包月防火墙):2个

      您可购买扩展包增加防护个数,最多增加至1000个。购买扩展包的操作方式请参见变更云防火墙扩展包数量

    • 专业版(按需计费防火墙):20个,不支持增加防护个数。
  • 依赖企业路由器(Enterprise Router,ER)服务引流。
  • 如果您存在私用公网(即使用10.0.0.0/8、172.16.0.0/12、192.168.0.0/16以及运营商级NAT保留网段100.64.0.0/10以外的公网网段作为私网地址段)的情况,请您修改私网网段提交工单进行私网网段扩容,否则云防火墙可能无法正常转发您VPC间的流量。

对业务的影响

  • 开启或关闭VPC防护前,如果不存在阻断所有流量的防护规则或黑名单,则不会造成业务中断,保证流量平滑切换。
  • 开启VPC防护前,如果有阻断所有流量的防护规则或黑名单,则会在开启时对该VPC生效,可能导致业务中断;建议开启防护前排查是否存在长连接且不支持会话重建的业务。

配置及使用流程

VPC边界防火墙企业路由器模式因版本依赖,在不同局点上有着“新版”“旧版”两个版本,您可以根据配置防火墙时的界面判断版本。

配置界面如图3所示,配置流程如表2所示,配置文档请参见企业路由器模式(新版)

图3 VPC边界防火墙(新版)
表2 企业路由器模式(新版)配置及使用流程

操作步骤

操作说明

创建VPC边界防火墙

为VPC边界防火墙规划用于引流的网段。

说明:

引流VPC不会创建在您的账号上,即不占用您的防护VPC个数。

配置企业路由器并将流量引至云防火墙

通过企业路由器连通VPC和云防火墙之间的流量。
  • 为防护VPC添加连接,建立VPC与ER之间的网络互通。
  • 在企业路由器中创建两个路由表作为关联路由表和传播路由表,将VPC和防火墙之间的流量互相传输。
  • 为VPC添加一条指向企业路由器的路由。

开启VPC边界防火墙并确认流量经过云防火墙

开启VPC边界流量防护,并验证流量是否经过云防火墙。

VPC边界防护规则

通过防护规则放行/拦截流量(放行后的流量会经过入侵防御IPS、病毒防御等功能的检测)。

通过黑白名单拦截/放行流量

通过黑白名单放行/拦截流量(放行/拦截的流量,不再经过其它功能的检测)。

访问控制日志

查看防护策略是否生效。

新增防护VPC

需要新增防护的VPC时,执行本节操作。

配置界面如图4所示,配置流程如图5所示,配置文档请参见企业路由器模式(旧版)

图4 创建VPC边界防火墙(旧版)
图5 企业路由器模式配置流程

相关文档