备案控制台
文档
产品文档
输入文档关键字查找
首页 云防火墙 操作指南 防火墙开关 NAT边界防火墙

NAT边界防火墙

更新时间:
一键部署
产品详情
相关技术圈
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

VPC内资源(例如ECS、ECI等)通过NAT网关直接访问互联网时,可能存在未经授权的访问、数据泄露、恶意流量攻击等安全风险。为了降低这些风险,您可以开启NAT边界防火墙,利用云防火墙来拦截未授权的流量访问。本文介绍如何配置NAT边界防火墙。

功能介绍

防护原理

NAT边界防火墙支持一键开启和资产同步、NAT边界的访问控制策略配置、流量分析、日志审计等功能。

开启NAT边界防火墙后,NAT边界防火墙会检测所有经过VPC内私网资源(包括同一VPC内的资源和跨VPC的资源)流向该NAT网关的出方向流量。NAT边界防火墙会根据您配置的访问控制策略、云防火墙内置的威胁情报库等策略,匹配流量的访问源、目的地址、端口、协议、应用、域名等元素,判断当前流量是否满足放行标准,从而限制私网资源到互联网的未授权访问。

NAT边界防火墙的防护场景示例如下图所示:

image

对业务的影响

  • 开启和关闭NAT边界防火墙过程中,云防火墙会进行NAT路由切换,会出现1~2秒的长连接闪断,短连接无影响。建议您在业务低峰期进行开启和操作。

    • 创建NAT边界防火墙对业务无影响。但如果在创建时选择了开启NAT边界防火墙,在开启过程中会出现1~2秒的长连接闪断,短连接无影响。

      说明

      NAT边界防火墙的创建时长与NAT网关绑定的EIP数量相关,每增加一个EIP,创建时长约增加2~5分钟。此过程对业务无影响。

    • 关闭后删除NAT边界防火墙对业务无影响。

  • 开启NAT边界防火墙后,请勿变更NAT边界防火墙所在交换机的路由或者下一跳为NAT边界防火墙的路由,否则可能会导致业务流量中断。

  • 云防火墙实例到期后如果未及时续费,NAT边界防火墙将被自动释放,同时流量路由会切换至原始的内网访问公网的路由,切换过程可能会造成业务短暂中断。

    建议您开启自动续费或者提前续费,以确保云防火墙服务可用,具体操作,请参见续费说明

  • 如果您的NAT边界防火墙在2023年09月01日之前创建,NAT边界防火墙对连接到相同二元组(目的IP、目的端口)的所有网络连接的防护带宽上限为20 Mbps。如果连接到相同二元组的网络连接带宽超过20 Mbps,可能会出现网络抖动。如果您需要提升NAT边界防火墙的防护带宽上限,建议您删除并重新创建NAT边界防火墙。

    2023年09月01日及之后创建的NAT边界防火墙不存在20 Mbps的防护带宽限制。

使用流程

您可以参考以下NAT边界防火墙的使用流程图,帮助您更好地使用NAT边界防火墙。

说明

云防火墙默认提供了创建NAT边界防火墙的授权规格,如果默认的授权规格不满足需求,您需要购买NAT边界防火墙授权规格。更多信息,请参见购买云防火墙服务

image

前提条件

  • 已开通云防火墙服务,并且购买了足够数量的NAT边界防火墙授权数。具体操作,请参见购买云防火墙服务

  • 已创建公网NAT网关,并且NAT网关满足以下条件:

    重要

    目前,NAT边界防火墙仅支持防护公网NAT网关。

    • NAT网关所在的地域支持开通NAT边界防火墙。NAT边界防火墙支持的地域,请参见支持的地域

    • NAT网关已至少绑定1个EIP,并且NAT网关绑定的EIP不超过10个。相关内容,请参见创建和管理公网NAT网关实例

    • NAT网关已配置了SNAT条目,并且不存在DNAT条目。相关内容,请参见创建和管理SNAT条目

      如果NAT网关存在DNAT条目,您需要先删除DNAT条目,才可以开启NAT边界防火墙。具体操作,请参见创建和管理DNAT条目

    • NAT网关所在的VPC支持VPC高级功能。相关内容,请参见VPC高级功能

    • NAT网关所在的VPC已配置了0.0.0.0指向该NAT网关的路由条目。相关内容,请参见创建和管理路由表

    • NAT网关所在的VPC能够分配至少/28网段的子网段。

创建NAT边界防火墙

您可以参考以下内容创建NAT边界防火墙,一个NAT网关实例对应一个NAT边界防火墙。

注意事项

  • 新建的NAT网关约需要30分钟同步到云防火墙。

    您可以进入防火墙开关 > 互联网边界防火墙页面,单击同步资产,手动将NAT网关同步到云防火墙。

  • 开启NAT边界防火墙后,NAT网关中的EIP和SNAT条目约需要30分钟同步到NAT边界防火墙。同步完成前,EIP和SNAT条目不会生效。

    您可以进入防火墙开关 > VPC边界防火墙页面,单击同步资产,手动同步NAT网关的路由条目。

操作步骤

您可以选择通过自动模式手动模式创建NAT边界防火墙。

  • 自动模式:该模式下,云防火墙会自动完成交换机创建、路由转换等工作,您无需进行额外操作。

    创建NAT边界防火墙时,云防火墙会进行以下操作:

    • 自动创建一个交换机,并为其随机分配一个网段。

    • 自动创建一个名为Cloud_Firewall_ROUTE_TABLE的自定义路由表,并在该自定义路由表中添加一条指向NAT网关的0.0.0.0/0路由,同时自动学习VPC系统路由表中的其他路由条目。

    • 修改系统路由表中的0.0.0.0/0路由条目,将其下一跳将指向云防火墙ENI。

  • 手动模式:如果您希望自定义NAT边界防火墙交换机的网段,您可以选择手动模式。该模式下,如果路由条目配置不全,可能会导致业务无法通信。

    • 您需要完成以下操作:

      • 手动创建一个交换机,并为其分配一个不小于/28的网段。

      • 创建一个自定义路由表,并将其绑定到新建的交换机。

      • 按需在新的路由表添加除0.0.0.0/0网段外的自定义路由条目(如跨VPC的回程路由等)。

    • 创建NAT边界防火墙时,云防火墙会进行以下操作:

      • 在您创建的自定义路由表中添加一条指向NAT网关的0.0.0.0/0路由。

      • 修改系统路由表中的0.0.0.0/0路由条目,将其下一跳将指向云防火墙ENI。

自动模式(推荐)

  1. 登录云防火墙控制台在左侧导航栏,单击防火墙开关

  2. 单击NAT边界防火墙页签,在目标NAT网关的操作列单击创建

  3. 在创建NAT边界防火墙面板,配置NAT边界防火墙信息,然后单击确定

    配置项

    说明

    名称

    自定义NAT边界防火墙的名称。

    新下一跳

    选中复选框,表示允许主机私网IP访问流量的下一跳指向NAT边界防火墙。

    image.png

    交换机

    选择自动模式,由云防火墙自动创建一个交换机,并绑定自定义路由表。

    NAT网关公网暴露控制策略

    可选配置。您可以单击前往编辑访问控制策略,修改访问控制策略。具体操作,请参见NAT边界

    引擎模式

    选择访问控制策略的防护模式。

    • 宽松模式:该模式下,针对应用和域名的访问控制策略在遇到未识别应用或域名的流量时,将会放行流量,以优先保证业务。

    • 严格模式:该模式下,针对应用和域名的访问控制策略在遇到未识别应用或域名的流量时,将会转交流量给后续策略继续匹配。如果有拒绝策略命中未识别流量,未识别流量将被拦截。

    启用状态

    开启NAT边界防火墙开关。

    开启后,流量的路由会切到云防火墙,云防火墙才能防护访问流量。

手动模式

  1. 为NAT边界防火墙创建一个空交换机。具体操作,请参见创建和管理专有网络

    确保交换机满足以下要求

    • 交换机、NAT网关、NAT边界防火墙属于同一个VPC。

    • 交换机与NAT网关处于同一个可用区。

    • 交换机的网段至少为网段至少/28,并且确保剩余可用IP数大于NAT网关的EIP数。

    • 交换机未接入其他任何等云资源。

  2. 创建一个新的路由表,并将路由表绑定到上述新建的交换机。具体操作,请参见创建和管理路由表

  3. (可选)按需在新的路由表添加除0.0.0.0/0网段外的自定义路由条目。具体操作,请参见子网路由

    例如,您的业务中存在跨VPC通信,此时您需要手动将VPC的回程路由添加到路由表。

  4. 通过手动模式创建NAT边界防火墙。

    1. 登录云防火墙控制台在左侧导航栏,单击防火墙开关

    2. 单击NAT边界防火墙页签,在目标NAT网关的操作列单击创建

    3. 在创建NAT边界防火墙面板,配置NAT边界防火墙信息,然后单击确定

      配置项

      说明

      名称

      自定义NAT边界防火墙的名称。

      新下一跳

      选中复选框,表示允许主机私网IP访问流量的下一跳指向NAT边界防火墙。

      image.png

      交换机

      选择手动模式,然后选择已手动创建的交换机。

      说明

      如果交换机列表中没有目标交换机,或者目标交换机置灰无法选择,请排查交换机是否绑定了其他云资源、交换机是否已绑定自定义路由表。确认交换机配置正确后,在NAT边界防火墙页签右上角单击同步资产

      NAT网关公网暴露控制策略

      可选配置。您可以单击前往编辑访问控制策略,修改访问控制策略。具体操作,请参见NAT边界

      引擎模式

      选择访问控制策略的防护模式。

      • 宽松模式:该模式下,针对应用和域名的访问控制策略在遇到未识别应用或域名的流量时,将会放行流量,以优先保证业务。

      • 严格模式:该模式下,针对应用和域名的访问控制策略在遇到未识别应用或域名的流量时,将会转交流量给后续策略继续匹配。如果有拒绝策略命中未识别流量,未识别流量将被拦截。

      启用状态

      开启NAT边界防火墙开关。

      开启后,流量的路由会切到云防火墙,云防火墙才能防护访问流量。

后续操作

创建NAT防火墙后,您可以为NAT防火墙设置访问控制策略、查看私网访问日志等,以便您更好地管控私网资产和互联网之间的流量访问。

配置访问控制策略

如果您未配置任何访问控制策略,云防火墙默认放行流量。您可以创建NAT边界访问控制策略,精细化管控私网资产访问公网的流量。

进入防火墙开关 > NAT边界防火墙页面,在目标NAT边界防火墙的操作列,单击image.png图标后选择访问控制

您可以在跳转后的页面创建NAT边界访问控制策略,具体操作,请参见NAT边界

查询审计日志

进入防火墙开关 > NAT边界防火墙页面,在目标NAT边界防火墙的操作列,单击image.png图标后选择日志审计

您可以在跳转后的页面查询私网访问互联网的流量日志。更多信息,请参见日志审计

查看流量分析

进入防火墙开关 > NAT边界防火墙页面,在目标NAT边界防火墙的操作列,单击image.png图标后选择流量分析

您可以在跳转后的页面查看NAT网关主动访问互联网的情况。更多信息,请参见主动外联

查看NAT私网流量统计

在左侧导航栏,单击概览,然后在概览页面右上角单击更多,查看NAT私网流量的处理能力、近期流量峰值、NAT边界防火墙授权数使用情况。

image.png

查看NAT边界防火墙的交换机列表

进入防火墙开关 > NAT边界防火墙页面,在NAT边界防火墙列表右上角,单击防火墙交换机列表

关闭和删除NAT边界防火墙

警告

关闭NAT边界防火墙时,云防火墙会做NAT路由切换,会出现1~2秒长连接闪断,建议您在业务低峰期关闭。关闭后删除NAT边界防火墙不会影响业务。

如果未关闭时直接删除NAT边界防火墙,云防火墙会同时进行关闭和删除操作,该过程会出现1~2秒长连接闪断。

  • 关闭NAT边界防火墙

    进入防火墙开关 > NAT边界防火墙页面,在NAT边界防火墙的开关列,关闭NAT边界防火墙。

  • 删除NAT边界防火墙

    进入防火墙开关 > NAT边界防火墙页面,在NAT边界防火墙的操作列,单击image.png图标后选择删除,删除NAT边界防火墙。

相关文档

文档推荐
  • 本页导读 (1)
文档反馈