VPC边界防火墙概述

云防火墙支持防护虚拟私有云（VPC）的流量，开启防护后，您的业务流量将经过云防火墙，默认情况下，所有流量都会被放行。

开启防护后，您可以根据业务需求，配置访问控制策略或IPS防护模式，云防火墙会根据配置，检测流量实施拦截/放行操作，配置访问控制策略请参见添加防护规则，IPS相关请参见配置入侵防御策略。

本文介绍云防火墙VPC边界的基本概念和防护配置。

VPC边界流量是VPC与线下数据中心IDC、VPC与VPC之间的通信流量（即东西向流量），您可以通过云防火墙配置VPC边界防火墙，借助企业路由器，实现内部业务互访活动的可视化与安全防护。

VPC边界防火墙支持跨账号防护功能。例如，A账号下有VPC_A，B账号下有VPC_B，您只需在A账号中配置企业路由器和云防火墙，将A账号的企业路由器共享至B账号，并添加VPC_B的连接，即可防护A、B两个账号下的VPC资源。

图1 VPC与IDC之间

图2 VPC与VPC之间

VPC边界防火墙的防护规格分为防护VPC数和VPC边界防护带宽。

表1 VPC边界防火墙防护规格
防护规格	说明	包周期模式	按需计费模式
防护VPC数	当前防火墙实例可防护的VPC总数。	取决于您购买的“防护VPC数”，默认提供防护2个VPC、200MbpsVPC边界防护带宽的配额；如果配额不足，可以购买扩展包，具体操作请参见变更扩展包	提供防护20个VPC、1Gbps互联网边界+VPC边界防护带宽的配额，不支持扩容。
VPC边界防护带宽	当前防火墙实例可防护的VPC边界流量峰值。		提供防护20个VPC、1Gbps互联网边界+VPC边界防护带宽的配额，不支持扩容。

仅“专业版”支持VPC边界防火墙。
单个防火墙实例默认支持防护的VPC个数如下：
- 专业版（包年/包月防火墙）：2个
   您可购买扩展包增加防护个数，最多增加至1000个。购买扩展包的操作方式请参见变更云防火墙扩展包数量。
- 专业版（按需计费防火墙）：20个，不支持增加防护个数。
依赖企业路由器（Enterprise Router，ER）服务引流。
如果您存在私用公网（即使用10.0.0.0/8、172.16.0.0/12、192.168.0.0/16以及运营商级NAT保留网段100.64.0.0/10以外的公网网段作为私网地址段）的情况，请您修改私网网段或提交工单进行私网网段扩容，否则云防火墙可能无法正常转发您VPC间的流量。

开启或关闭VPC防护前，如果不存在阻断所有流量的防护规则或黑名单，则不会造成业务中断，保证流量平滑切换。
开启VPC防护前，如果有阻断所有流量的防护规则或黑名单，则会在开启时对该VPC生效，可能导致业务中断；建议开启防护前排查是否存在长连接且不支持会话重建的业务。
- 编辑防护规则请参见管理防护规则。
- 编辑黑名单请参见管理黑白名单。

VPC边界防火墙企业路由器模式因版本依赖，在不同局点上有着“新版”和“旧版”两个版本，您可以根据配置防火墙时的界面判断版本。

配置界面如图3所示，配置流程如表2所示，配置文档请参见企业路由器模式（新版）。

图3 VPC边界防火墙（新版）

表2 企业路由器模式（新版）配置及使用流程
操作步骤	操作说明
创建VPC边界防火墙	为VPC边界防火墙规划用于引流的网段。说明：引流VPC不会创建在您的账号上，即不占用您的防护VPC个数。
配置企业路由器并将流量引至云防火墙	通过企业路由器连通VPC和云防火墙之间的流量。为防护VPC添加连接，建立VPC与ER之间的网络互通。在企业路由器中创建两个路由表作为关联路由表和传播路由表，将VPC和防火墙之间的流量互相传输。为VPC添加一条指向企业路由器的路由。
开启VPC边界防火墙并确认流量经过云防火墙	开启VPC边界流量防护，并验证流量是否经过云防火墙。
VPC边界防护规则	通过防护规则放行/拦截流量（放行后的流量会经过入侵防御IPS、病毒防御等功能的检测）。
通过黑白名单拦截/放行流量	通过黑白名单放行/拦截流量（放行/拦截的流量，不再经过其它功能的检测）。
访问控制日志	查看防护策略是否生效。
新增防护VPC	需要新增防护的VPC时，执行本节操作。