配置企业路由器并将流量引至云防火墙
操作场景
本文介绍如何通过企业路由器将流量引至云防火墙,并验证网络连通性,确保所有流量均经过安全检查,从而提升资产的安全性。
前提条件
流量互通,确定流量未经过防火墙时正常通信。流量验证请参见验证网络互通情况。
配置原理和流程
配置路由器并将流量引至云防火墙的操作,本质是通过路由规则与流量转发策略的协同,强制VPC间的流量经过云防火墙的安全检测与过滤。
此处以两个VPC间流量互访为例进行说明,流量从VPC1/VPC2经过企业路由器转发到云防火墙,云防火墙根据防护策略筛选后,将允许的流量放行至企业路由器,再由企业路由器转发至VPC2/VPC1。具体流量走势如下所示:
操作流程如下所示:
在此流程中需创建两张专用路由表:
- 路由表1(er-RT1,关联路由表):绑定VPC1、VPC2的连接,配置路由规则将VPC流量指向云防火墙(下一跳为CFW自动生成的连接cfw-er-auto-attach),确保VPC出向流量进入防护;
- 路由表2(er-RT2,传播路由表):绑定云防火墙的连接,通过“传播功能”自动学习VPC1、VPC2的路由信息,确保云防火墙处理后的回程流量能正确回传至目标VPC。
约束与限制
在配置路由时,不建议在VPC路由表中将ER的路由配置为默认路由网段0.0.0.0/0。如果VPC内的ECS绑定了EIP,会在ECS内增加默认网段的策略路由,并且优先级高于ER路由,此时会导致流量转发至EIP,无法抵达ER。所以,当VPC和ER组网存在以下情况时,不建议您在VPC路由表中将下一跳为ER的路由配置为默认路由0.0.0.0/0,否则会导致部分业务流量无法转发至ER。
- VPC内的ECS绑定了EIP;
- VPC内部署了ELB、NAT网关、VPCEP、DCS服务。
以上场景配置路由的具体解决方法可参见如何解决VPC路由表中的0.0.0.0/0路由无法转发至ER的问题。
将流量引至云防火墙
根据当前业务是否已配置企业路由器,选择配置方式。
- 创建VPC边界防火墙,具体操作请参见创建VPC边界防火墙。
- (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择,进入“VPC边界防火墙管理”页面。
- 添加VPC连接。
单击“防火墙状态”侧的“编辑防护VPC”,进入企业路由器页面,在企业路由器中添加连接,支持添加的连接类型请参见连接概述。
下文以防护两个VPC为例(至少需要添加两条VPC连接,用于连接两个VPC和ER之间)。操作步骤请参见企业路由器中添加VPC连接。
图3 添加VPC连接
- 防火墙创建后自动生成一条防火墙连接(名称:cfw-er-auto-attach,连接类型:云防火墙(CFW)),防护VPC的连接需手动添加;每增加一个防护的VPC,都需要增加一条连接。
- 如需防护其它账号(如账号B)下的VPC,请将当前账号A的企业路由器共享至账号B,共享步骤请参见创建共享,共享成功后在账号B中添加连接,后续配置仍在账号A中进行。
- 创建两个路由表,作为关联路由表和传播路由表分别用于连接需防护的VPC和连接防火墙。
在企业路由器详情页面中,单击“路由表”页签,进入路由表设置页面,单击“创建路由表”,并在弹出的创建路由表框中配置参数信息。
表1 创建路由表参数说明 参数名称
参数说明
名称
输入路由表的名称。
命名规则如下:- 长度范围为1~64位。
- 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。
AS_Path选路策略
可选参数。
- 不配置:表示路由在形成负载分担时,比较AS_Path属性,优选AS_Path长度较短的。AS_Path属性按矢量顺序记录了BGP路由从本地到目的地址所要经过的所有AS编号,AS_Path记录的AS编号越少,证明长度越短。
- 忽略相同长度AS_Path:设置该参数后,路由在形成负载分担时不比较相同长度的AS_Path属性。AS_Path可防止自治系统AS之间发生BGP环路,开启“忽略相同长度AS_Path”选项,可能导致BGP环路。
标签
可选参数。
您可以在创建路由表的时候为路由表绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。
关于标签更详细的说明,请参见标签概述。
描述
可选参数。
您可以根据需要在文本框中输入对该路由表的描述信息。
- 配置关联路由表。
- 设置关联功能:在路由表设置页面,选择关联路由表后单击“关联”页签,并在关联页面中单击“创建关联”,单击“确定”。
关联至少需要添加两条,每增加一个防护的VPC,都需增加一条关联。
例如:选择VPC1的连接vpc-1以及VPC2的连接vpc-2,需防护VPC3时,增加一条关联,选择连接vpc-3。
图4 创建关联
表2 创建关联参数说明 参数名称
参数说明
连接类型
选择连接类型为:虚拟私有云(VPC)。
连接
在连接下拉列表中,选择需防护的VPC连接。
- 设置路由功能:单击“路由”页签,并在路由页面中单击“创建路由”,单击“确定”。根据实际数量创建路由功能,参数说明请参见表3。 图5 创建路由
- 设置关联功能:在路由表设置页面,选择关联路由表后单击“关联”页签,并在关联页面中单击“创建关联”,单击“确定”。
- 配置传播路由表。
- 修改VPC的路由表。
- 在左侧导航栏中,选择,进入路由表页面。
- 在“名称/ID”列,单击对应VPC的路由表名称,进入路由表基本信息页面。
- 单击“添加路由”,并在弹出的添加路由框中配置参数信息。
至少需要为两个VPC添加路由,每增加一个防护的VPC,都需为该VPC增加一条路由。
表6 添加路由参数说明 参数
说明
目的地址类型
选择“IP地址”。
目的地址
填写流量到达的网段。
填写说明举例:如果是两个VPC间的防护,则此处需要在VPC1中添加的路由“目的地址”中填写为VPC2的网段。
下一跳类型
在下拉列表中,选择类型“企业路由器”。
下一跳
选择下一跳资源。
下拉列表中将展示您创建的企业路由器名称。
描述
(可选)路由的描述信息。
描述信息内容不能超过255个字符,且不能包含“<”和“>”。
- 单击“确定”。
- 已创建VPC边界防火墙,具体操作请参见创建VPC边界防火墙。
- 登录ER控制台。
- 单击管理控制台左上角的
,选择区域。 - 从默认路由表er-RT1中删除防火墙VPC(vpc-cfw-er)的关联和传播。
选择,在防火墙VPC行的“操作”列,单击“删除”,在删除确认框中,单击“是”。
选择,在防火墙VPC行的“操作”列,单击“删除”,在删除确认框中,单击“是”。
- 创建路由表er-RT2。
单击页面左上角“创建路由表”。参数详情见表7。
表7 创建路由表参数说明 参数名称
参数说明
取值样例
名称
输入路由表的名称。要求如下:
- 长度范围为1~64位。
- 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。
er-RT2
标签
您可以在创建路由表的时候为路由表绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。
关于标签更详细的说明,请参见标签概述。
“标签键”:test
“标签值”:01
描述
您可以根据需要在文本框中输入对该路由表的描述信息。
-
- 配置路由表er-RT2:设置关联和传播功能。
- 配置默认路由表er-RT1:
- 添加静态路由。选择路由表er-RT1,单击页签,单击“创建路由”,填写信息如下:
- 目的地址:0.0.0.0/0
- 连接类型:“云防火墙(CFW)”
- 下一跳:选择防火墙VPC的连接(cfw-er-auto)
图10 添加静态路由
- 删除路由表er-RT1中的所有传播。
单击页签,在“操作”列中,单击“删除”,在删除确认框中,单击“是”。
- 添加静态路由。选择路由表er-RT1,单击页签,单击“创建路由”,填写信息如下:
- (可选)建议您将当前企业路由器的传播路由表改为新创建的路由表(er-RT2),后续添加新VPC时,仅需添加连接,无需进行其它操作。 返回或进入,单击“更多 > 修改配置”,选择传播路由表为er-RT2。图11 修改配置
如需防护其它账号(如账号B)下的VPC,请将当前账号A的企业路由器共享至账号B,共享步骤请参见创建共享,共享成功后在账号B中添加连接即可完成配置。
后续操作
配置企业路由器并将流量引至云防火墙后,需要开启VPC边界防护,具体操作请参见开启VPC边界防火墙并确认流量经过云防火墙。
