VPC边界防火墙概述

什么是VPC边界流量

VPC边界流量是VPC与线下数据中心IDC、VPC与VPC之间的通信流量（即东西向流量），您可以通过云防火墙配置VPC边界防火墙，借助企业路由器，实现内部业务互访活动的可视化与安全防护。

VPC边界流量防护主要拦截内网扫描、蠕虫传播、组织越权访问，适用于多VPC组网、混合云互通、分层业务架构等场景，有效防范内网横向渗透与威胁扩散。

开启防护后，您的业务流量将经过云防火墙，默认情况下，所有流量都会被放行。为了实现更精细的流量控制，您可以根据业务需求，配置访问控制策略或调整IPS防护模式。配置后，云防火墙会根据您的具体配置，检测流量并实施拦截或放行操作，从而保障VPC与线下数据中心IDC、VPC与VPC之间的流量安全。

图1 VPC边界流量防护

VPC边界防火墙支持跨账号防护功能。例如，A账号下有VPC_A，B账号下有VPC_B，您只需在A账号中配置企业路由器和云防火墙，将A账号的企业路由器共享至B账号，并添加VPC_B的连接，即可防护A、B两个账号下的VPC资源。

VPC边界流量防护介绍视频

支持的防护对象

虚拟私有云（VPC）、虚拟网关（VGW）、虚拟专用网络（VPN）、全域接入网关（DGW）

防护规格

VPC边界防火墙的防护规格分为防护VPC数和VPC边界防护带宽。

注：^①表示基础版有新老两个版本，老版本（免费）已在2023年停止购买，新版本（计费）是2024年新发售的更新功能后的版本，本文重点介绍新基础版支持的功能特性，且仅“西南-贵阳一”区域支持购买基础版防火墙。

约束与限制

• 仅“专业版”支持VPC边界防火墙。
• 依赖企业路由器（Enterprise Router，ER）服务引流。

  同时，在配置路由时，不建议在VPC路由表中将ER的路由配置为默认路由网段0.0.0.0/0。如果VPC内的ECS绑定了EIP，会在ECS内增加默认网段的策略路由，并且优先级高于ER路由，此时会导致流量转发至EIP，无法抵达ER。所以，当VPC和ER组网存在以下情况时，不建议您在VPC路由表中将下一跳为ER的路由配置为默认路由0.0.0.0/0，否则会导致部分业务流量无法转发至ER。

  • VPC内的ECS绑定了EIP；
  • VPC内部署了ELB、NAT网关、VPCEP、DCS服务。

  以上场景配置路由的具体解决方法可参见如何解决VPC路由表中的0.0.0.0/0路由无法转发至ER的问题。

• 如果您存在私用公网（即使用10.0.0.0/8、172.16.0.0/12、192.168.0.0/16以及运营商级NAT保留网段100.64.0.0/10以外的公网网段作为私网地址段）的情况，请您修改私网网段或添加私网网段，否则云防火墙可能无法正常转发您VPC间的流量。

对业务的影响

开启VPC防护前，请确认是否有阻断所有流量的防护规则或黑名单：

• 开启VPC防护前，如果有阻断所有流量的防护规则或黑名单，则会在开启时对该VPC生效，可能导致业务中断。此时，建议开启防护前排查是否存在长连接且不支持会话重建的业务。如果存在，请先进行处理。

  编辑防护规则详细操作请参见管理防护规则。编辑黑名单详细操作请参见管理黑/白名单。

• 开启或关闭VPC防护前，如果不存在阻断所有流量的防护规则或黑名单，则不会造成业务中断，保证流量平滑切换。

配置及使用流程

VPC边界防火墙企业路由器模式因版本依赖，在不同局点上有着“新版”和“旧版”两个版本，您可以根据配置防火墙时的界面判断版本。