VPC边界防火墙概述
VPC边界防火墙支持VPC之间通信流量的访问控制,实现内部业务互访活动的可视化与安全防护。
支持的防护对象
- 虚拟私有云(VPC)
- 虚拟网关(VGW)
- VPN网关(VPN)
- 企业连接网(ECN)
- 全球接入网关(DGW)
约束条件
- 仅“专业版”支持VPC边界防火墙。
- 依赖企业路由器(Enterprise Router, ER)服务引流。
- 仅支持防护当前账号所属企业项目下的VPC。
- 如果您存在私用公网(即使用10.0.0.0/8、 172.16.0.0/12、192.168.0.0/16 以及运营商级NAT保留网段100.64.0.0/10 以外的公网网段作为私网地址段)的情况,请您提交工单进行私网网段扩容,否则云防火墙可能无法正常转发您VPC间的流量。
配置及使用流程
- 新版VPC边界防火墙:配置流程请参见表 企业路由器模式(新版)配置及使用流程,配置文档请参见企业路由器模式(新版)。
图1 VPC边界防火墙(新版)
- 旧版VPC边界防火墙:配置流程请参见图 企业路由器关联模式配置流程,配置文档请参见企业路由器模式(旧版)。
图2 创建VPC边界防火墙(旧版)
操作步骤 |
操作说明 |
---|---|
为VPC边界防火墙规划用于引流的网段。
说明:
引流VPC不会创建在您的账号上,即不占用您的防护VPC个数。 |
|
通过企业路由器连通VPC和云防火墙之间的流量。
|
|
开启VPC边界流量防护,并验证流量是否经过云防火墙。 |
|
通过防护规则放行/拦截流量(放行后的流量会经过入侵防御IPS、病毒防御等功能的检测)。 |
|
通过黑白名单放行/拦截流量(放行/拦截的流量,不再经过其它功能的检测)。 |
|
查看防护策略是否生效。 |
|
需要新增防护的VPC时,执行本节操作。 |