本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
VPC内资源(例如ECS、ECI等)通过NAT网关直接访问互联网时,可能存在未经授权的访问、数据泄露、恶意流量攻击等安全风险。为了降低这些风险,您可以开启NAT边界防火墙,利用云防火墙来拦截未授权的流量访问。本文介绍如何配置NAT边界防火墙。
功能介绍
防护原理
NAT边界防火墙支持一键开启和资产同步、NAT边界的访问控制策略配置、流量分析、日志审计等功能。
开启NAT边界防火墙后,NAT边界防火墙会检测所有经过VPC内私网资源(包括同一VPC内的资源和跨VPC的资源)流向该NAT网关的出方向流量。NAT边界防火墙会根据您配置的访问控制策略、云防火墙内置的威胁情报库等策略,匹配流量的访问源、目的地址、端口、协议、应用、域名等元素,判断当前流量是否满足放行标准,从而限制私网资源到互联网的未授权访问。
NAT边界防火墙的防护场景示例如下图所示:
对业务的影响
开启和关闭NAT边界防火墙过程中,云防火墙会进行NAT路由切换,会出现1~2秒的长连接闪断,短连接无影响。建议您在业务低峰期进行开启和操作。
创建NAT边界防火墙对业务无影响。但如果在创建时选择了开启NAT边界防火墙,在开启过程中会出现1~2秒的长连接闪断,短连接无影响。
说明NAT边界防火墙的创建时长与NAT网关绑定的EIP数量相关,每增加一个EIP,创建时长约增加2~5分钟。此过程对业务无影响。
关闭后删除NAT边界防火墙对业务无影响。
开启NAT边界防火墙后,请勿变更NAT边界防火墙所在交换机的路由或者下一跳为NAT边界防火墙的路由,否则可能会导致业务流量中断。
云防火墙实例到期后如果未及时续费,NAT边界防火墙将被自动释放,同时流量路由会切换至原始的内网访问公网的路由,切换过程可能会造成业务短暂中断。
建议您开启自动续费或者提前续费,以确保云防火墙服务可用,具体操作,请参见续费说明。
如果您的NAT边界防火墙在2023年09月01日之前创建,NAT边界防火墙对连接到相同二元组(目的IP、目的端口)的所有网络连接的防护带宽上限为20 Mbps。如果连接到相同二元组的网络连接带宽超过20 Mbps,可能会出现网络抖动。如果您需要提升NAT边界防火墙的防护带宽上限,建议您删除并重新创建NAT边界防火墙。
2023年09月01日及之后创建的NAT边界防火墙不存在20 Mbps的防护带宽限制。
使用流程
您可以参考以下NAT边界防火墙的使用流程图,帮助您更好地使用NAT边界防火墙。
云防火墙默认提供了创建NAT边界防火墙的授权规格,如果默认的授权规格不满足需求,您需要购买NAT边界防火墙授权规格。更多信息,请参见购买云防火墙服务。
前提条件
已开通云防火墙服务,并且购买了足够数量的NAT边界防火墙授权数。具体操作,请参见购买云防火墙服务。
已创建公网NAT网关,并且NAT网关满足以下条件:
重要目前,NAT边界防火墙仅支持防护公网NAT网关。
NAT网关所在的地域支持开通NAT边界防火墙。NAT边界防火墙支持的地域,请参见支持的地域。
NAT网关已至少绑定1个EIP,并且NAT网关绑定的EIP不超过10个。相关内容,请参见创建和管理公网NAT网关实例。
NAT网关已配置了SNAT条目,并且不存在DNAT条目。相关内容,请参见创建和管理SNAT条目。
如果NAT网关存在DNAT条目,您需要先删除DNAT条目,才可以开启NAT边界防火墙。具体操作,请参见创建和管理DNAT条目。
NAT网关所在的VPC支持VPC高级功能。相关内容,请参见VPC高级功能。
NAT网关所在的VPC已配置了0.0.0.0指向该NAT网关的路由条目。相关内容,请参见创建和管理路由表。
NAT网关所在的VPC能够分配至少/28网段的子网段。
创建NAT边界防火墙
您可以参考以下内容创建NAT边界防火墙,一个NAT网关实例对应一个NAT边界防火墙。
注意事项
新建的NAT网关约需要30分钟同步到云防火墙。
您可以进入
页面,单击同步资产,手动将NAT网关同步到云防火墙。开启NAT边界防火墙后,NAT网关中的EIP和SNAT条目约需要30分钟同步到NAT边界防火墙。同步完成前,EIP和SNAT条目不会生效。
您可以进入
页面,单击同步资产,手动同步NAT网关的路由条目。
操作步骤
您可以选择通过自动模式或手动模式创建NAT边界防火墙。
自动模式:该模式下,云防火墙会自动完成交换机创建、路由转换等工作,您无需进行额外操作。
创建NAT边界防火墙时,云防火墙会进行以下操作:
自动创建一个交换机,并为其随机分配一个网段。
自动创建一个名为Cloud_Firewall_ROUTE_TABLE的自定义路由表,并在该自定义路由表中添加一条指向NAT网关的0.0.0.0/0路由,同时自动学习VPC系统路由表中的其他路由条目。
修改系统路由表中的0.0.0.0/0路由条目,将其下一跳将指向云防火墙ENI。
手动模式:如果您希望自定义NAT边界防火墙交换机的网段,您可以选择手动模式。该模式下,如果路由条目配置不全,可能会导致业务无法通信。
您需要完成以下操作:
手动创建一个交换机,并为其分配一个不小于/28的网段。
创建一个自定义路由表,并将其绑定到新建的交换机。
按需在新的路由表添加除0.0.0.0/0网段外的自定义路由条目(如跨VPC的回程路由等)。
创建NAT边界防火墙时,云防火墙会进行以下操作:
在您创建的自定义路由表中添加一条指向NAT网关的0.0.0.0/0路由。
修改系统路由表中的0.0.0.0/0路由条目,将其下一跳将指向云防火墙ENI。
自动模式(推荐)
登录云防火墙控制台。在左侧导航栏,单击防火墙开关。
单击NAT边界防火墙页签,在目标NAT网关的操作列单击创建。
在创建NAT边界防火墙面板,配置NAT边界防火墙信息,然后单击确定。
配置项
说明
名称
自定义NAT边界防火墙的名称。
新下一跳
选中复选框,表示允许主机私网IP访问流量的下一跳指向NAT边界防火墙。
交换机
选择自动模式,由云防火墙自动创建一个交换机,并绑定自定义路由表。
NAT网关公网暴露控制策略
可选配置。您可以单击前往编辑访问控制策略,修改访问控制策略。具体操作,请参见NAT边界。
引擎模式
选择访问控制策略的防护模式。
宽松模式:该模式下,针对应用和域名的访问控制策略在遇到未识别应用或域名的流量时,将会放行流量,以优先保证业务。
严格模式:该模式下,针对应用和域名的访问控制策略在遇到未识别应用或域名的流量时,将会转交流量给后续策略继续匹配。如果有拒绝策略命中未识别流量,未识别流量将被拦截。
启用状态
开启NAT边界防火墙开关。
开启后,流量的路由会切到云防火墙,云防火墙才能防护访问流量。
手动模式
为NAT边界防火墙创建一个空交换机。具体操作,请参见创建和管理专有网络。
确保交换机满足以下要求:
交换机、NAT网关、NAT边界防火墙属于同一个VPC。
交换机与NAT网关处于同一个可用区。
交换机的网段至少为网段至少/28,并且确保剩余可用IP数大于NAT网关的EIP数。
交换机未接入其他任何等云资源。
创建一个新的路由表,并将路由表绑定到上述新建的交换机。具体操作,请参见创建和管理路由表。
(可选)按需在新的路由表添加除0.0.0.0/0网段外的自定义路由条目。具体操作,请参见子网路由。
例如,您的业务中存在跨VPC通信,此时您需要手动将VPC的回程路由添加到路由表。
通过手动模式创建NAT边界防火墙。
登录云防火墙控制台。在左侧导航栏,单击防火墙开关
单击NAT边界防火墙页签,在目标NAT网关的操作列单击创建。
在创建NAT边界防火墙面板,配置NAT边界防火墙信息,然后单击确定。
配置项
说明
名称
自定义NAT边界防火墙的名称。
新下一跳
选中复选框,表示允许主机私网IP访问流量的下一跳指向NAT边界防火墙。
交换机
选择手动模式,然后选择已手动创建的交换机。
说明如果交换机列表中没有目标交换机,或者目标交换机置灰无法选择,请排查交换机是否绑定了其他云资源、交换机是否已绑定自定义路由表。确认交换机配置正确后,在NAT边界防火墙页签右上角单击同步资产。
NAT网关公网暴露控制策略
可选配置。您可以单击前往编辑访问控制策略,修改访问控制策略。具体操作,请参见NAT边界。
引擎模式
选择访问控制策略的防护模式。
宽松模式:该模式下,针对应用和域名的访问控制策略在遇到未识别应用或域名的流量时,将会放行流量,以优先保证业务。
严格模式:该模式下,针对应用和域名的访问控制策略在遇到未识别应用或域名的流量时,将会转交流量给后续策略继续匹配。如果有拒绝策略命中未识别流量,未识别流量将被拦截。
启用状态
开启NAT边界防火墙开关。
开启后,流量的路由会切到云防火墙,云防火墙才能防护访问流量。
后续操作
创建NAT防火墙后,您可以为NAT防火墙设置访问控制策略、查看私网访问日志等,以便您更好地管控私网资产和互联网之间的流量访问。
配置访问控制策略
如果您未配置任何访问控制策略,云防火墙默认放行流量。您可以创建NAT边界访问控制策略,精细化管控私网资产访问公网的流量。
进入
页面,在目标NAT边界防火墙的操作列,单击图标后选择访问控制。您可以在跳转后的页面创建NAT边界访问控制策略,具体操作,请参见NAT边界。
查询审计日志
进入
页面,在目标NAT边界防火墙的操作列,单击图标后选择日志审计。您可以在跳转后的页面查询私网访问互联网的流量日志。更多信息,请参见日志审计。
查看流量分析
进入
页面,在目标NAT边界防火墙的操作列,单击图标后选择流量分析。您可以在跳转后的页面查看NAT网关主动访问互联网的情况。更多信息,请参见主动外联。
查看NAT私网流量统计
在左侧导航栏,单击概览,然后在概览页面右上角单击更多,查看NAT私网流量的处理能力、近期流量峰值、NAT边界防火墙授权数使用情况。
查看NAT边界防火墙的交换机列表
进入
页面,在NAT边界防火墙列表右上角,单击防火墙交换机列表。关闭和删除NAT边界防火墙
关闭NAT边界防火墙时,云防火墙会做NAT路由切换,会出现1~2秒长连接闪断,建议您在业务低峰期关闭。关闭后删除NAT边界防火墙不会影响业务。
如果未关闭时直接删除NAT边界防火墙,云防火墙会同时进行关闭和删除操作,该过程会出现1~2秒长连接闪断。
关闭NAT边界防火墙
进入
页面,在NAT边界防火墙的开关列,关闭NAT边界防火墙。删除NAT边界防火墙
进入
页面,在NAT边界防火墙的操作列,单击图标后选择删除,删除NAT边界防火墙。
相关文档
如果您需要管控私网资产到网站域名的访问流量,请参见只允许私网主机访问指定域名的策略配置教程。
您可以通过NAT边界防火墙的流量日志,查看资产的流量访问情况。具体操作,请参见日志审计。
更多关于互联网边界防火墙的问题:
- 本页导读 (1)