VPC边界防火墙帮助您检测和管控专有网络VPC(Virtual Private Cloud)之间、VPC和本地数据中心之间的流量。如果VPC已通过高速通道连接,或者同属于一个云企业网,您可以在高速通道或云企业网创建VPC边界防火墙,实现控制VPC间的访问流量。本文介绍如何配置VPC边界防火墙。

注意事项

在云防火墙控制台创建VPC边界防火墙后,云防火墙会在专有网络VPC中自动为您创建以下资源:
  • VPC资源:名称为Cloud_Firewall_VPC

    请勿将其他业务资源加入到Cloud_Firewall_VPC,否则会导致删除VPC边界防火墙时,您添加的其他业务资源无法删除。请勿手动修改和删除此VPC内的网络资源。

  • 交换机资源:名称为Cloud_Firewall_VSWITCH
  • 自定义路由表条目:备注信息为Created by cloud firewall. Do not modify or delete it.
开启VPC边界防火墙后,云服务器ECS(Elastic Compute Service)会自动添加名称为Cloud_Firewall_Security_Group的安全组,并且为该安全组自动配置了放行策略(即授权策略),用于放行VPC边界防火墙到ECS的入方向流量。
说明 Cloud_Firewall_Security_Group的安全组和放行策略不可以删除,否则会导致VPC边界防火墙到ECS的入方向流量无法受到VPC边界防火墙的防护。

如果需要批量操作或频繁开关VPC边界防火墙,为不影响您的业务,建议在业务流量较小的低峰期进行。

警告
  • 关闭或者删除VPC边界防火墙,在关闭过程中可能会导致流量闪断。
  • 创建VPC边界防火墙后,变更所创建的云防火墙VPC中的交换机及路由表,可能会导致流量中断。
  • 关闭或删除云企业网的转发路由器(企业版)手动引流模式VPC边界防火墙,可能会导致流量中断。

配置云企业网的转发路由器(企业版)的VPC边界防火墙

使用限制

限制项 处理建议

每个地域最多支持9个VPC实例和1个VPC边界防火墙(即VPC边界防火墙会占用1个配额)。开启VPC边界防火墙后,每个地域会自动新增一个命名为Cloud_Firewall_VPC的VPC实例。关于如何查看该VPC的详细信息,请参见查看专有网络。VPC配额不足的情况下,您将无法开启VPC边界防火墙。

如果配额已满,您需要修改VPC配额的上限,具体操作,请参见管理配额

在云企业网中开启VPC边界防火墙时, 转发路由器支持添加的网络实例(包含VPC、VBR和CCN)在每个地域数量最多为100个。
说明 转发路由器支持添加的VPC中,包含了开启VPC边界防火墙时自动新增的VPC(即新增一个实例名称为Cloud_Firewall_VPC的VPC。关于如何查看该VPC的详细信息,请参见查看专有网络)。
无。
转发路由器存在如下限制:
  • 如果已创建的VPC边界防火墙使用的是自动模式, 创建VPC边界防火墙后,需要联系售后服务人员将自动新增的VPC(名称是Cloud_Firewall_VPC)加入白名单之后,才能开启VPC边界防火墙。
  • 如果已创建的VPC边界防火墙使用的是手动模式,需要联系售后服务将该VPC加入白名单之后,才能开启VPC边界防火墙。
如果您需要将VPC加入白名单,请使用钉钉加入阿里云云防火墙问题答疑群聊(群号:33081734)进行反馈。
如果已开启VPC边界防火墙,转发路由器从基础版升级到企业版后,新增或新生效的路由网段的流量经过防火墙会造成流量中断。 转发路由器从基础版升级到企业版之前,需要先删除同地域的VPC边界防火墙。删除完成后,转发路由器再从基础版升级到企业版。升级到企业版后,需要重新配置VPC边界防火墙。

是否支持VPC边界防火墙功能取决于云企业网所属的阿里云账号是否有购买云防火墙付费版,与该云企业网下加入的VPC实例所属的阿里云账号是否有购买云防火墙无关。

例如,使用账号A创建了云企业网和VPC_1,使用账号B创建了VPC_2,VPC_1和VPC_2通过账号A的云企业网实现网络互通,此时您可以使用账号A购买云防火墙付费版,用于防护VPC_1和VPC_2的流量。

无。

VPC边界防火墙支持防护同地域VPC-VPC流量互访、通过转发路由器TR实例实现跨地域VPC-VPC流量互访(即VPC-TR)、VPC和边界路由器VBR(Virtual Border Router)流量互访(即VPC-IDC)、VPC和云连接网CCN(Cloud Connect Network)流量互访,不支持防护VBR和VBR流量互访、CCN和CCN流量互访、CCN和流量VBR互访。

无。

自动引流模式使用限制:

  • 当云企业网的转发路由器(企业版)路由表内存在除100.64.0.0/10内的静态路由时,不支持配置引流场景。
  • 在引流场景中,不支持同一网元同时存在多个场景;暂时不支持将云企业网的转发路由器(基础版)添加到引流场景;不支持有路由冲突的转发路由器;不支持VBR等价路由。
无。

应用场景

  • VPC边界防火墙支持如下场景:
    • 防护同地域VPC-VPC互访。
    • 通过转发路由器实例实现跨地域VPC-VPC互访(即VPC-TR)。
    • VPC和边界路由器VBR(Virtual Border Router)互访(即VPC-IDC)。
    • VPC和云连接网CCN(Cloud Connect Network)互访流量。
  • 在自动引流模式中,不支持如下情况:
    • 当云企业网的转发路由器(企业版)路由表内存在除100.64.0.0/10内的静态路由。
    • 同一网元同时存在多个场景类型,例如网元A不能同时存在点到点和点到多点的场景类型。
    • 将云企业网的转发路由器(基础版)添加到自动引流场景中。
    • 引流实例类型不支持存在路由冲突的转发路由器、VBR等价路由。

前提条件

创建VPC边界防火墙

  1. 登录云防火墙控制台,在左侧导航栏,单击防火墙开关
  2. 防火墙开关页面,单击VPC边界防火墙
  3. VPC边界防火墙页签,单击云企业网(企业版)
  4. 定位到目标VPC边界防火墙的云企业网实例下的转发路由器,单击操作列的创建
    云防火墙可以对通过云企业网的转发路由器连接的网络实例(包括专有网络VPC实例、边界路由器VBR实例、转发路由器TR实例)间流量进行管控。
    • 自动引流模式(推荐)

      自动引流模式下,您可以结合自身业务情况创建网络实例级别引流场景,VPC边界防火墙会根据引流场景自动在云企业网转发路由器上配置路由,并自动创建VPC边界防火墙弹性网卡完成流量牵引。

      1. 创建防火墙面板,按照下表介绍配置VPC边界防火墙。然后单击确定
        配置项 说明
        防火墙基本信息 防火墙名称定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您根据业务的实际情况输入具有意义的名称,并保证名称的唯一性。
        分配防火墙所需要的网段 配置防火墙的VPC网段,并输入3个至少28位不与网络规划冲突的网段来分配给创建防火墙过程所需交换机。其中
        入侵防御 选择入侵防御模块(IPS)的工作模式、入侵防御策略。
        • IPS防御模式
          • 观察模式:开启观察模式后,对恶意流量进行监控并告警。
          • 拦截模式:开启拦截模式后,对恶意流量进行拦截,阻断入侵活动。
        • IPS防御能力
          • 基础规则:开启基础规则后,为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。
          • 虚拟补丁:开启虚拟补丁后,实时防御热门的高危应用漏洞。
        说明 此设置将应用于同一云企业网下的所有网络实例。
      2. 云企业网(企业版)页签,定位到目标云企业网实例下的转发路由器,单击防火墙状态列下的立即配置
      3. 如果您未配置任何引流场景,需要在引流场景页签,单击立即创建引流场景
      4. 引流场景页签,单击创建引流场景。然后在创建引流场景面板,按照下表介绍配置引流场景。
        配置项 说明
        基础信息 模板名称:设置引流模板的名称。
        场景类型 选择使用VPC边界防火墙管控和防护的场景类型。
        • 点到点:两个网元之间流量经过云防火墙管控。适用于简单的网络拓扑环境。
        • 点到多点:一个网元与多个网元之间的流量经过云防火墙管控。适用于星形网络拓扑环境;支持子引流实例选择ALL,一键实现到主引流实例的所有流量经过云防火墙管控。
        • 多点间互联:多个网元之间的流量经过云防火墙管控。适用于Full Mesh网状网络拓扑环境。
        说明 网元是指专有网络VPC实例、边界路由器VBR实例、转发路由器TR实例。
        引流对象 配置引流实例类型引流实例ID
        重要 自动模式引流下,防护VPC的数量按照引流场景配置的网元(VPC、TR、VBR)个数计量。
      5. 单击确定

        创建引流过程时间较长,预计在30分钟内完成引流配置。完成后,即可实现对转发路由器连接的网络实例之间的流量防护。

    • 手动引流模式

      手动引流模式下,您可以结合自身业务情况手动在云企业网转发路由器上创建VPC边界防火墙弹性网卡并配置路由,将流量牵引至VPC边界防火墙弹性网卡。

      重要 手动引流模式下,您还需要选择该云企业网实例连接的VPC网络和使用的交换机。选择了手动模式,需要在云防火墙实例到期前及时续费,否则会导致云防火墙服务不可用时该VPC边界防火墙引流失败,从而引起对应网络中断。
      1. 创建防火墙面板,配置VPC边界防火墙。
        配置项 说明
        防火墙基本信息
        • 防火墙名称定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您根据业务的实际情况输入具有意义的名称,并保证名称的唯一性。
        • 专有网络:为防火墙配置专有网络。
        • 交换机:为防火墙配置交换机。
        入侵防御 选择入侵防御模块(IPS)的工作模式、入侵防御策略。
        • IPS防御模式
          • 观察模式:开启观察模式后,对恶意流量进行监控并告警。
          • 拦截模式:开启拦截模式后,对恶意流量进行拦截,阻断入侵活动。
        • IPS防御能力
          • 基础规则:开启基础规则后,为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。
          • 虚拟补丁:开启虚拟补丁后,实时防御热门的高危应用漏洞。
        说明 此设置将应用于同一云企业网下的所有网络实例。
      2. 单击确定

    创建完成后会自动开启该边界防火墙,您可以手动配置转发路由器与VPC边界防火墙互访路由,实现对转发路由器连接的网络实例之间的流量防护。具体操作,请参见防护云企业网TR连接的VPC之间的所有流量

管理自动引流场景

  1. VPC边界防火墙云企业网(企业版)页签,定位到目标云企业网实例下的转发路由器,单击右侧操作详情
  2. VPC边界防火墙详情面板的引流场景页签,根据业务需要,执行如下操作。
    • 关闭引流场景
      1. 单击已开启的引流场景开关。
      2. 关闭引流场景对话框,您可以通过路由撤销或者路由回滚两种方式关闭引流场景。
        • 路由撤销(推荐):撤销在创建引流场景时添加的引流路由,对业务无终端影响。关闭引流时间与路由条目有关,预估在30分钟,请您耐心等待。
        • 路由回滚:恢复到创建引流场景前配置的路由表,适用于刚创建引流场景时需要变更或者关闭操作,对业务可能存在中断影响。选择路由回滚后,在关闭引流场景对话框会显示待恢复的路由表详情。
      3. 单击确定
        重要 关闭操作无法撤销,请您操作前仔细确认。关闭完成后及时查看业务的流量情况。
    • 删除自动引流场景

      将鼠标悬浮在目标引流场景卡片上,单击删除,删除该引流场景。在删除自动引流场景前,您需要先关闭引流场景。

    • 编辑自动引流场景

      将鼠标悬浮在目标引流场景卡片上,单击编辑,修改该引流场景。

    • 查看路由明细

      将鼠标悬浮在目标引流场景卡片上,单击路由明细,查看该VPC防火墙的引流路由明细。

编辑或删除VPC边界防火墙

如果您需要修改VPC边界防火墙的配置,或者业务已不需要该VPC边界防火墙,可以在VPC边界防火墙云企业网(企业版)页签,定位到目标云企业网实例下的转发路由器,单击右侧操作列的编辑删除

重要
  • 手动模式:如果确定要删除防火墙实例,请提前手动删除指向VPC边界防火墙的路由,再删除边界VPC防火墙,避免业务受影响。
  • 自动模式:如果防火墙状态为已开启状态,需要先删除当前所有引流场景,再删除VPC边界防火墙。

配置云企业网的转发路由器(基础版)的VPC边界防火墙

使用限制

限制项 处理建议

每个地域最多支持9个VPC实例和1个VPC边界防火墙(即VPC边界防火墙会占用1个配额)。开启VPC边界防火墙后,每个地域会自动新增一个命名为Cloud_Firewall_VPC的VPC实例。关于如何查看该VPC的详细信息,请参见查看专有网络。VPC配额不足的情况下,您将无法开启VPC边界防火墙。

如果配额已满,您需要修改VPC配额的上限,具体操作,请参见管理配额

在云企业网中开启VPC边界防火墙时, 转发路由器支持添加的网络实例(包含VPC、VBR和CCN)在每个地域数量最多为100个。
说明 转发路由器支持添加的VPC中,包含了开启VPC边界防火墙时自动新增的VPC(即新增一个实例名称为Cloud_Firewall_VPC的VPC。关于如何查看该VPC的详细信息,请参见查看专有网络)。
无。
在云企业网中存在跨账号开通的VPC时,如果跨账号开通的VPC未获得云防火墙的授权或您的云防火墙版本不是旗舰版,您将无法创建VPC边界防火墙。
  • 您需要用对应账号登录云防火墙完成授权后,再开启VPC边界防火墙。具体操作,请参见授权云防火墙访问云资源
  • 需要升级到云防火墙旗舰版。具体操作,请参见续费说明
云企业网中的VPC所在的地域都需要是VPC边界防火墙支持的地域,否则会导致无法为该云企业网开启VPC边界防火墙。 云企业网中的VPC所在的地域都是VPC边界防火墙支持的地域。相关内容,请参见VPC边界防火墙支持的地域
如果您是在2021年05月01日之前开通了VPC边界防火墙,并且您的网络拓扑中存在公网私用的地址段,开启VPC边界防火墙后,您的服务器对SLB和RDS的访问将会中断。
说明 2021年05月01日及之后开通VPC边界防火墙的用户无此限制。
建议按标准规划您的网络,避免出现公网私用的情况。
云企业网中发布的路由条目最大为100。 建议您将发布的路由条目数减少到100条以内。如有需要,请使用钉钉加入阿里云云防火墙问题答疑群聊(群号:33081734)进行反馈。
  • 开启VPC边界防火墙后,云防火墙会自动为VPC添加自定义路由条目。
  • 如果VPC路由表中的自定义路由条目达到上限,您将无法开启VPC边界防火墙。
  • VPC实例自定义路由条目的默认值为200条。
增加VPC的配额。

您需要修改当前账号下VPC路由表的自定义路由配额,具体操作,请参见管理配额

在云企业网中开启VPC边界防火墙时,如果VPC中存在自定义路由表且绑定了vSwitch,不支持开通VPC边界防火墙。 您可以删除相关的自定义路由表或vSwitch解除绑定自定义路由表。
以下非VPC间互访流量不经过云防火墙,因此无法受到云防火墙的防护:
  • VBR间的互访流量
  • CCN间的互访流量
  • VBR与CCN间的互访流量
如果您需要进一步咨询,请联系云防火墙钉钉群售后人员。
SLB和RDS等云服务在开启或关闭VPC边界防火墙过程中,会出现长连接失效问题。
  • 在开启或关闭VPC边界防火墙的过程前,暂时设置SLB的健康检查为本VPC后端,避免健康检查抖动,开启或关闭后就可以该设置。
  • 在客户端增加连接保活以及重连机制。
已开启VPC边界防火墙的VPC数量和地域数量的总和不超过32个(未开启VPC边界防火墙不影响)。 无。
在云企业网中开启VPC边界防火墙时,支持添加的网络实例数量为15个。 建议您使用转发路由器TR(Transit Router)。相关信息,请咨询云防火墙钉钉群售后人员。
为云企业网创建VPC边界防火墙时,该云企业网中不能存在策略行为设置为拒绝类型的路由策略(系统默认生产的优先级为5,000拒绝类型路由策略除外),否则将会导致业务中断。 建议您删除相关路由策略,或咨询云防火墙钉钉群售后人员。
开启VPC边界防火墙后,如果增加或者删除云企业网的路由策略,云防火墙需要15~30分钟的时间完成路由学习。 建议您等待云防火墙路由学习完成后观察路由策略生效情况,或通过云防火墙钉钉群咨询售后人员。
单专线云企业网用户使用防火墙时,开墙或者网络割接时可能会造成流量中断。 建议开墙或者网络割接前,先通过云防火墙钉钉群咨询售后人员。

是否支持VPC边界防火墙功能取决于云企业网所属的阿里云账号是否有购买云防火墙付费版,与该云企业网下加入的VPC实例所属的阿里云账号是否有购买云防火墙无关。

例如,使用账号A创建了云企业网和VPC_1,使用账号B创建了VPC_2,VPC_1和VPC_2通过账号A的云企业网实现网络互通,此时您可以使用账号A购买云防火墙付费版,用于防护VPC_1和VPC_2的流量。

无。

VPC边界防火墙支持防护同地域VPC-VPC流量互访、通过转发路由器TR实例实现跨地域VPC-VPC流量互访(即VPC-TR)、VPC和边界路由器VBR(Virtual Border Router)流量互访(即VPC-IDC)、VPC和云连接网CCN(Cloud Connect Network)流量互访,不支持防护VBR和VBR流量互访、CCN和CCN流量互访、CCN和流量VBR互访。

无。

自动引流模式使用限制:

  • 当云企业网的转发路由器(企业版)路由表内存在除100.64.0.0/10内的静态路由时,不支持配置引流场景。
  • 在引流场景中,不支持同一网元同时存在多个场景;暂时不支持将云企业网的转发路由器(基础版)添加到引流场景;不支持有路由冲突的转发路由器;不支持VBR等价路由。
无。

前提条件

创建VPC边界防火墙

  1. 登录云防火墙控制台,在左侧导航栏,单击防火墙开关
  2. 防火墙开关页面,单击VPC边界防火墙
  3. VPC边界防火墙页签,单击云企业网(基础版)
  4. 定位到目标VPC边界防火墙的云企业网的网络实例,单击操作列下的创建
    云防火墙可以对通过云企业网的转发路由器(即VPC边界防火墙页面的企业版)连接的VPC间流量进行管控。
  5. 创建VPC边界防火墙面板,根据配置向导,完成VPC边界防火墙配置。
    当云企业网的转发路由器为基础版时,支持诊断是否满足一键开启VPC边界防火墙的条件。您可以在检测完成后,在诊断记录面板查看诊断结果。如果您已了解VPC边界防火墙的创建细则,可以直接跳过一键开启诊断功能,直接创建。

    以下表格介绍了云企业网连通模式下,VPC边界防火墙的配置。

    配置项 说明
    名称 定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您根据业务的实际情况输入具有意义的名称,并保证名称的唯一性。
    引流配置 开启引流开关,配置防护的网段。
    入侵防御 选择入侵防御模块(IPS)的工作模式、入侵防御策略。
    • IPS防御模式
      • 观察模式:开启观察模式后,对恶意流量进行监控并告警。
      • 拦截模式:开启拦截模式后,对恶意流量进行拦截,阻断入侵活动。
    • IPS防御能力
      • 基础规则:开启基础规则后,为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。
      • 虚拟补丁:开启虚拟补丁后,实时防御热门的高危应用漏洞。
    说明 此设置将应用于同一云企业网下的所有网络实例。
  6. 单击开始创建,创建VPC边界防火墙。
  7. 云企业网(基础版)页签,开启已创建的VPC边界防火墙开关。
说明 开启VPC边界防火墙后会自动添加名称为Cloud_Firewall_Security_Group的安全组和放行策略,用于放行到VPC边界防火墙的流量,请不要删除和修改此安全组和策略。

开启或关闭VPC边界防火墙

  1. 防火墙开关页面,单击VPC边界防火墙
  2. 云企业网(基础版)页签,定位到目标VPC边界防火墙的云企业网的网络实例,开启或关闭其防火墙开关
    开启或关闭VPC边界防火墙开关后,请耐心等待。当VPC边界防火墙的防火墙状态变更为已开启,则表示成功开启VPC边界防火墙。当VPC边界防火墙的防火墙状态变更为未开启,则表示成功关闭VPC边界防火墙。

编辑或删除VPC边界防火墙

如果您需要修改VPC边界防火墙的配置,或者业务已不需要该VPC边界防火墙,可以在VPC边界防火墙云企业网(基础版)页签,定位到目标VPC边界防火墙的云企业网的网络实例,单击右侧操作列的编辑删除

配置高速通道VPC边界防火墙

使用限制

限制项 处理建议

每个地域最多支持9个VPC实例和1个VPC边界防火墙(即VPC边界防火墙会占用1个配额)。开启VPC边界防火墙后,每个地域会自动新增一个命名为Cloud_Firewall_VPC的VPC实例。关于如何查看该VPC的详细信息,请参见查看专有网络。VPC配额不足的情况下,您将无法开启VPC边界防火墙。

如果配额已满,您需要修改VPC配额的上限,具体操作,请参见管理配额

高速通道连接VPC模式下,VPC边界防火墙支持防护同地域的VPC和VPC互访流量,不支持防护VPC跨地域、跨账号、VPC和VBR间的互访流量。 如果需要防护VPC跨地域、跨账号或VPC与VBR间的互访流量,建议您改为云企业网组网。相关信息,请咨询产品钉钉群售后人员。
  • 开启VPC边界防火墙后,云防火墙会自动为VPC添加自定义路由条目。
  • 如果VPC路由表中的自定义路由条目达到上限,您将无法开启VPC边界防火墙。
  • VPC实例自定义路由条目的默认值为200条。
增加VPC的配额。

您需要修改当前账号下VPC路由表的自定义路由配额,具体操作,请参见管理配额

在高速通道中不支持防护32位网段的路由。如果有32位网段的路由,开启VPC边界防火墙后,会导致对此网段的网络访问中断。 建议您先将网段掩码长度修改为小于等于30后,再开启VPC边界防火墙,或者联系产品钉钉群售后人员。
开启VPC边界防火墙后,如果增加或者删除高速通道的VPC路由表信息,云防火墙需要15~30分钟的时间完成路由学习。 建议您等待云防火墙路由学习完成后观察路由表生效情况,或通过云防火墙钉钉群咨询售后人员。

前提条件

  • 已购买高速通道实例,并且已使用高速通道完成了VPC之间的网络互联。具体操作,请参见高速通道同账号VPC互连
  • 已开通企业版、旗舰版云防火墙。

创建VPC边界防火墙

  1. 登录云防火墙控制台,在左侧导航栏,单击防火墙开关
  2. 防火墙开关页面,单击VPC边界防火墙
  3. VPC边界防火墙页签,单击高速通道
  4. 定位到需要创建VPC边界防火墙的高速通道实例,单击操作列下的创建
    如果高速通道实例过多,您可以在列表上方使用地域、VPC实例、云防火墙配置状态过滤列表。例如,您可以将状态设置为未配置并单击搜索,查询所有未配置VPC边界防火墙的高速通道实例。
  5. 创建VPC边界防火墙对话框,完成VPC边界防火墙配置。配置描述如下。
    配置项 说明
    实例名 定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您使用具有业务意义的名称,并保证名称的唯一性。
    对等互通方式 确认互通方式。对等互通方式指VPC之间或VPC与本地数据中心之间的通信方式,此处固定为高速通道,无需您手动设置。
    VPC 确认VPC地域和VPC实例,选择要防护的路由表,并填写目标网段
    • 路由表

      创建VPC时,系统会为您自动创建一张默认的路由表,用于为专有网络添加系统路由来管理专有网络的流量。VPC支持按需创建多个路由表。详细内容,请参见路由表概述

      在云防火墙控制台创建VPC边界防火墙时,云防火墙自动读取您的VPC路由表信息。高速通道支持多个路由表,因此您在高速通道下创建VPC边界防火墙时可看到多个路由表,并可以选择需要防护的VPC路由表。

    • 目标网段

      在路由表下拉列表中选中某个路由时,目标网段会自动展示该路由表的默认目标网段。如果您需要防护其它网段,可手动修改目标网段。支持添加多个网段,多个网段间用英文逗号隔开。

    对端VPC 确认对端VPC地域和VPC实例,选择要防护的路由表,并填写目标网段
    入侵防御 选择要开启的入侵防御策略,可选项:
    • IPS防御模式
      • 观察模式:开启观察模式后,对恶意流量进行监控并告警。
      • 拦截模式:开启拦截模式后,对恶意流量进行拦截,阻断入侵活动。
    • IPS防御能力
      • 基础规则:开启基础规则后,为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。
      • 虚拟补丁:开启虚拟补丁后,实时防御热门的高危应用漏洞。
    开启VPC边界防火墙 开启开关,则在创建VPC边界防火墙后,自动开启VPC边界防火墙开关。
  6. 单击提交并确认。

开启或关闭VPC边界防火墙

  1. 防火墙开关页面,单击VPC边界防火墙
  2. 高速通道页签,定位到目标VPC边界防火墙的高速通道实例,开启或关闭其防火墙开关
    开启或关闭VPC边界防火墙开关后,请耐心等待。当VPC边界防火墙的防火墙状态变更为已开启,则表示成功开启VPC边界防火墙。当VPC边界防火墙的防火墙状态变更为未开启,则表示成功关闭VPC边界防火墙。

编辑或删除VPC边界防火墙

如果您需要修改VPC边界防火墙的配置,或者业务已不需要该VPC边界防火墙,可以在VPC边界防火墙高速通道页签,定位到目标VPC边界防火墙的高速通道实例,单击右侧操作列的编辑删除

防护VPC和本地数据中心(IDC)间的流量

前提条件

已开通企业版、旗舰版云防火墙。

VPC边界防火墙支持对VPC和VBR之间的流量(即VPC到本地数据中心之间的流量)进行防护。使用云企业网连接VPC和本地数据中心的情况下,该云企业网的VPC边界防火墙开启后,会自动对该VPC和VBR之间的流量开启防护,无需为云企业网VBR单独创建和开启VPC边界防火墙。

登录云防火墙控制台,在防火墙开关页面,您可以在VPC边界防火墙页签的云企业网(基础版)云企业网(企业版)列表,查看到云企业网VBR的防护信息。

后续步骤

  • VPC边界防火墙创建成功后,您可以在访问控制 > VPC边界页面,设置VPC边界防火墙策略,控制VPC间的访问活动。更多信息,请参见VPC边界防火墙访问策略
  • 只有开启VPC边界防火墙后,您才可以访问VPC访问活动页面,查看VPC网络间的相互访问流量。