VPC边界防火墙概述
云防火墙支持防护虚拟私有云(VPC)的流量,开启防护后,您的业务流量将经过云防火墙,默认情况下,所有流量都会被放行。
开启防护后,您可以根据业务需求,配置访问控制策略或IPS防护模式,云防火墙会根据配置,检测流量实施拦截/放行操作,配置访问控制策略请参见添加防护规则,IPS相关请参见配置入侵防御策略。
本文介绍云防火墙VPC边界的基本概念和防护配置。
什么是VPC边界流量
VPC边界流量是VPC与线下数据中心IDC、VPC与VPC之间的通信流量(即东西向流量),您可以通过云防火墙配置VPC边界防火墙,借助企业路由器,实现内部业务互访活动的可视化与安全防护。
VPC边界防火墙支持跨账号防护功能。例如,A账号下有VPC_A,B账号下有VPC_B,您只需在A账号中配置企业路由器和云防火墙,将A账号的企业路由器共享至B账号,并添加VPC_B的连接,即可防护A、B两个账号下的VPC资源。


VPC边界流量防护介绍视频
支持的防护对象
- 虚拟私有云(VPC)
- 虚拟网关(VGW)
- 虚拟专用网络(VPN)
- 全域接入网关(DGW)
防护规格
VPC边界防火墙的防护规格分为防护VPC数和VPC边界防护带宽。
防护规格 |
说明 |
包周期模式 |
按需计费模式 |
---|---|---|---|
防护VPC数 |
当前防火墙实例可防护的VPC总数。 |
取决于您购买的“防护VPC数”,默认提供防护2个VPC、200MbpsVPC边界防护带宽的配额;如果配额不足,可以购买扩展包,具体操作请参见变更扩展包 |
提供防护20个VPC、1Gbps互联网边界+VPC边界防护带宽的配额,不支持扩容。 |
VPC边界防护带宽 |
当前防火墙实例可防护的VPC边界流量峰值。 |
约束条件
- 仅“专业版”支持VPC边界防火墙。
- 单个防火墙实例默认支持防护的VPC个数如下:
- 专业版(包年/包月防火墙):2个
您可购买扩展包增加防护个数,最多增加至1000个。购买扩展包的操作方式请参见变更云防火墙扩展包数量。
- 专业版(按需计费防火墙):20个,不支持增加防护个数。
- 专业版(包年/包月防火墙):2个
- 依赖企业路由器(Enterprise Router,ER)服务引流。
- 如果您存在私用公网(即使用10.0.0.0/8、172.16.0.0/12、192.168.0.0/16以及运营商级NAT保留网段100.64.0.0/10以外的公网网段作为私网地址段)的情况,请您修改私网网段或提交工单进行私网网段扩容,否则云防火墙可能无法正常转发您VPC间的流量。
对业务的影响
配置及使用流程
VPC边界防火墙企业路由器模式因版本依赖,在不同局点上有着“新版”和“旧版”两个版本,您可以根据配置防火墙时的界面判断版本。
配置界面如图3所示,配置流程如表2所示,配置文档请参见企业路由器模式(新版)。
操作步骤 |
操作说明 |
---|---|
为VPC边界防火墙规划用于引流的网段。
说明:
引流VPC不会创建在您的账号上,即不占用您的防护VPC个数。 |
|
通过企业路由器连通VPC和云防火墙之间的流量。
|
|
开启VPC边界流量防护,并验证流量是否经过云防火墙。 |
|
通过防护规则放行/拦截流量(放行后的流量会经过入侵防御IPS、病毒防御等功能的检测)。 |
|
通过黑白名单放行/拦截流量(放行/拦截的流量,不再经过其它功能的检测)。 |
|
查看防护策略是否生效。 |
|
需要新增防护的VPC时,执行本节操作。 |