云防火墙提供NAT防火墙功能,实现对私网IP访问公网的流量进行访问控制和防护。NAT防火墙功能目前处于邀测阶段,本文介绍如何配置NAT防火墙。

背景信息

NAT防火墙是一种虚拟化的防火墙,创建并开启NAT防火墙后,经过NAT网关的流量会自动切换到云防火墙NAT防火墙。您可以在NAT防火墙页面的NAT防火墙列表的版本列,查看NAT防火墙的具体版本。

邀测对象

  • 已开通企业版或旗舰版云防火墙服务。
    注意 云防火墙企业版默认支持配置2个NAT防火墙实例,旗舰版默认支持配置3个NAT防火墙实例。如果您需要配置更多NAT防火墙实例,请提交工单申请,或者联系产品钉钉群售后人员。
  • 创建NAT防火墙2.0,需要拥有地域为华东1(杭州)、可用区为华东1可用区I华东1可用区K的增强型NAT网关且已提交工单申请。
    注意 NAT防火墙2.0支持SNAT和DNAT两种策略条目。
  • 创建NAT防火墙1.0(原安全正向代理),需要拥有满足以下条件的NAT网关:
    • 华东2(上海)、西南1(成都)或中国香港地域的NAT网关,或者华北2(北京)、华东1(杭州)或华南1(深圳)地域的NAT网关且已提交工单申请。
    • 已为NAT网关配置了SNAT条目。相关内容,请参见创建和管理SNAT条目
      注意 NAT防火墙1.0只支持SNAT策略条目,不支持DNAT策略条目。
    • NAT网关所在的VPC支持VPC高级功能。相关内容,请参见VPC高级功能
    注意 每个NAT网关默认最多绑定5个EIP(Elastic IP Address)和1,000条SNAT条目。如果您需要NAT网关绑定更多EIP,请通过钉钉加入阿里云云防火墙问题答疑群聊(群号:33081734)咨询售后人员。

创建NAT防火墙

创建NAT防火墙时,NAT防火墙1.0会做NAT路由切换,导致20秒左右业务闪断,请在业务低峰期进行操作;NAT防火墙2.0通过服务链技术实现,无需切换路由,有效避免了路由切换造成的业务闪断,开启过程业务无感知,实现秒级开启。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择防火墙开关 > NAT防火墙
  3. NAT防火墙页面,单击NAT防火墙实例列表操作列的创建
  4. 创建NAT防火墙对话框中,完成以下参数配置。
    配置项 说明
    名称 自定义NAT防火墙的名称。可输入中文、英文、任意特殊字符。
    交换机 该NAT防火墙所在的交换机(vSwitch)。有以下两种模式可以选择:
    • 自选模式:云防火墙自动创建交换机并绑定自定义路由表。
    • 手动模式:您可以选择已手动创建的交换机。相关信息,请参见在手动模式下创建交换机
    注意 只有NAT防火墙1.0才需要设置该参数。
    启用状态 是否启用该NAT防火墙。
    创建NAT防火墙后,如果已打开NAT防火墙开关,流量会经由NAT防火墙转发。

    您还可以在NAT防火墙页面,对已创建的NAT防火墙进行修改和删除、下载已创建的NAT防火墙数据列表。

    注意 云防火墙服务到期后,如果您未及时续费,您所创建的NAT防火墙将会自动释放,同时流量路由会切换至您原始的由内网访问公网的路由。此时,可能会造成业务短暂中断,请您提前续费确保服务可用。相关内容,请参见操作步骤

在手动模式下创建交换机

在创建NAT防火墙1.0时,您可以自主创建交换机并绑定自定义路由表,然后选择该交换机来创建NAT防火墙1.0。

  1. 创建NAT防火墙1.0对话框,单击前往VPC控制台手动创建交换机
  2. 在专有网络控制台的交换机页面,单击创建交换机
  3. 创建交换机页面,完成参数配置,单击确认
    选择专有网络为NAT防火墙1.0所在的VPC,选择可用区为NAT网关所在的可用区,确保IPv4网段的可用IP数大于NAT网关的SNAT EIP数。相关信息,请参见创建交换机
  4. 在专有网络控制台的路由表页面,单击创建路由表
  5. 创建路由表页面,完成参数配置,单击确定
    选择专有网络为NAT防火墙1.0所在的VPC。相关信息,请参见创建自定义路由表
  6. 在专有网络控制台的路由表页面,在路由表列表定位到您自主创建的路由表,单击该路由表的实例ID。
  7. 路由表基础信息页面的已绑定交换机页签,单击绑定交换机,在绑定交换机对话框中选择自主创建的交换机,单击确定
注意 路由表不允许添加自定义路由条目,交换机不允许接入ECS、RDS、SLB等云资源。

相关操作

  • 查看哪些NAT网关有主动外联的记录

    NAT防火墙页面,单击NAT防火墙操作列的更多图标,再单击流量分析跳转到主动外联活动页面,您可以在主动外联活动页面查看NAT网关进行主动外联活动的情况。相关内容,请参见主动外联活动

  • 查看NAT网关的公网IP访问情况

    互联网访问活动页面的开放公网IP列表中,您可以查看到NAT网关的访问情况。相关内容,请参见互联网访问活动

  • 查看NAT网关的流量日志

    NAT防火墙页面,单击NAT防火墙操作列的更多图标,再单击日志审计跳转到日志审计页面,在日志审计页面,您可以搜索并查看NAT网关所有相关流量的日志记录。

  • 创建访问控制策略

    NAT防火墙页面,单击NAT防火墙操作列的更多图标,再单击访问控制跳转到访问控制页面,您可以在访问控制页面创建访问控制策略。