配置VPC边界防火墙-VPC-防火墙-创建-云防火墙-阿里云

VPC边界防火墙帮助您检测和管控专有网络VPC（Virtual Private Cloud）之间、VPC和本地数据中心之间的流量。如果VPC已通过高速通道连接，或者同属于一个云企业网，您可以在高速通道或云企业网创建VPC边界防火墙，实现控制VPC间的访问流量。本文介绍如何配置VPC边界防火墙。

注意事项

在云防火墙控制台创建VPC边界防火墙后，云防火墙会在专有网络VPC中自动为您创建以下资源：

VPC资源：名称为Cloud_Firewall_VPC。
请勿将其他业务资源加入到Cloud_Firewall_VPC，否则会导致删除VPC边界防火墙时，您添加的其他业务资源无法删除。请勿手动修改和删除此VPC内的网络资源。
交换机资源：名称为Cloud_Firewall_VSWITCH。
自定义路由表条目：备注信息为Created by cloud firewall. Do not modify or delete it.。

开启VPC边界防火墙后，云服务器ECS（Elastic Compute Service）会自动添加名称为Cloud_Firewall_Security_Group的安全组，并且为该安全组自动配置了放行策略（即授权策略），用于放行VPC边界防火墙到ECS的入方向流量。

说明 Cloud_Firewall_Security_Group的安全组和放行策略不可以删除，否则会导致VPC边界防火墙到ECS的入方向流量无法受到VPC边界防火墙的防护。

如果需要批量操作或频繁开关VPC边界防火墙，为不影响您的业务，建议在业务流量较小的低峰期进行。

配置云企业网的转发路由器（企业版）的VPC边界防火墙

使用限制

是否支持VPC边界防火墙功能，取决于云企业网所属的阿里云账号是否购买云防火墙付费版，与该云企业网下加入的VPC实例所属的阿里云账号是否购买云防火墙无关。
例如，使用账号A创建了云企业网和VPC_1，使用账号B创建了VPC_2，VPC_1和VPC_2通过账号A的云企业网实现网络互通，此时您可以使用账号A购买云防火墙付费版，用于防护VPC_1和VPC_2的流量。
同一个云企业网在同一地域，可开启VPC边界防火墙的网络实例（包含VPC、VBR和CCN）数量不能超过100个。
在使用云防火墙防护跨账号VPC前，您需要授权云防火墙访问云资源，具体操作，请参见授权云防火墙访问云资源。
VPC边界防火墙支持防护同地域VPC-VPC互访、通过转发路由器实例实现跨地域VPC-VPC互访（即VPC-TR）、VPC和边界路由器VBR（Virtual Border Router）互访（即VPC-IDC）、VPC和云连接网CCN（Cloud Connect Network）互访流量。不支持防护VBR和VBR互访、CCN和CCN互访、CCN和VBR互访流量。
VPC边界防火墙支持如下场景：
- 防护同地域VPC-VPC互访。
- 通过转发路由器实例实现跨地域VPC-VPC互访（即VPC-TR）。
- VPC和边界路由器VBR（Virtual Border Router）互访（即VPC-IDC）。
- VPC和云连接网CCN（Cloud Connect Network）互访流量。
VPC边界防火墙不支持如下场景：
- 防护VBR和VBR互访。
- CCN和CCN互访。
- CCN和VBR互访流量。
在自动引流模式中，不支持如下情况：
- 当云企业网的转发路由器（企业版）路由表内存在除100.64.0.0/10内的静态路由。
- 同一网元同时存在多个场景类型，例如网元A不能同时存在点到点和点到多点的场景类型。
- 将云企业网的转发路由器（基础版）添加到自动引流场景中。
- 引流实例类型不支持存在路由冲突的转发路由器、VBR等价路由。

前提条件

已购买了云企业网实例，且已使用企业版转发路由器完成了VPC之间网络互联或者云上和云下网络互通。具体操作，请参见使用云企业网实现同地域云上云下网络互通（企业版）、使用云企业网实现跨地域跨账号VPC互通（企业版）。
云企业网的转发路由器（企业版）的VPC边界防火墙功能默认不开放，如需使用，请提交工单申请。
已开通企业版、旗舰版云防火墙。

创建VPC边界防火墙

登录云防火墙控制台，在左侧导航栏，选择防火墙开关 > 防火墙开关。
在防火墙开关页面，单击VPC边界防火墙。
在VPC边界防火墙页签，单击云企业网（企业版）。

定位到目标VPC边界防火墙的云企业网实例下的转发路由器，单击操作列的创建。

云防火墙可以对通过云企业网的转发路由器连接的网络实例（包括专有网络VPC实例、边界路由器VBR实例、转发路由器TR实例）间流量进行管控。

自动引流模式（推荐）

自动引流模式下，您可以结合自身业务情况创建网络实例级别引流场景，VPC边界防火墙会根据引流场景自动在云企业网转发路由器上配置路由，并自动创建VPC边界防火墙弹性网卡完成流量牵引。

在创建防火墙面板，按照下表介绍配置VPC边界防火墙。然后单击确定。


配置项	说明
防火墙基本信息	防火墙名称：定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例，建议您根据业务的实际情况输入具有意义的名称，并保证名称的唯一性。
分配防火墙所需要的网段	配置防火墙的VPC网段，并输入3个至少28位不与网络规划冲突的网段来分配给创建防火墙过程所需交换机。其中
入侵防御	选择入侵防御模块（IPS）的工作模式、入侵防御策略。 IPS防御模式观察模式：开启观察模式后，对恶意流量进行监控并告警。拦截模式：开启拦截模式后，对恶意流量进行拦截，阻断入侵活动。 IPS防御能力基础规则：开启后，为您的资产提供基础的防护能力，包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C（命令控制）的行为进行管控。虚拟补丁：开启后，实时防御热门的高危应用漏洞。说明此设置将应用于同一云企业网下的所有网络实例。

在云企业网（企业版）页签，定位到目标云企业网实例下的转发路由器，单击防火墙状态列下的立即配置。
如果您未配置任何引流场景，需要在引流场景页签，单击立即创建引流场景。

在引流场景页签，单击创建引流场景。然后在创建引流场景面板，按照下表介绍配置引流场景。


配置项	说明
基础信息	模板名称：设置引流模板的名称。
场景类型	选择使用VPC边界防火墙管控和防护的场景类型。点到点：两个网元之间流量经过云防火墙管控。适用于简单的网络拓扑环境。点到多点：一个网元与多个网元之间的流量经过云防火墙管控。适用于星形网络拓扑环境；支持子引流实例选择ALL，一键实现到主引流实例的所有流量经过云防火墙管控。多点间互联：多个网元之间的流量经过云防火墙管控。适用于Full Mesh网状网络拓扑环境。说明网元是指专有网络VPC实例、边界路由器VBR实例、转发路由器TR实例。
引流对象	配置引流实例类型及引流实例ID。

单击确定。
创建引流过程时间较长，预计在30分钟内完成引流配置。完成后，即可实现对转发路由器连接的网络实例之间的流量防护。

手动引流模式

手动引流模式下，您可以结合自身业务情况手动在云企业网转发路由器上创建VPC边界防火墙弹性网卡并配置路由，将流量牵引至VPC边界防火墙弹性网卡。

注意手动引流模式下，您还需要选择该云企业网实例连接的VPC网络和使用的交换机。选择了手动模式，需要在云防火墙实例到期前及时续费，否则会导致云防火墙服务不可用时该VPC边界防火墙引流失败，从而引起对应网络中断。

在创建防火墙面板，配置VPC边界防火墙。


配置项	说明
防火墙基本信息	防火墙名称：定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例，建议您根据业务的实际情况输入具有意义的名称，并保证名称的唯一性。专有网络：为防火墙配置专有网络。交换机：为防火墙配置交换机。
入侵防御	选择入侵防御模块（IPS）的工作模式、入侵防御策略。 IPS防御模式观察模式：开启观察模式后，对恶意流量进行监控并告警。拦截模式：开启拦截模式后，对恶意流量进行拦截，阻断入侵活动。 IPS防御能力基础规则：开启后，为您的资产提供基础的防护能力，包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C（命令控制）的行为进行管控。虚拟补丁：开启后，实时防御热门的高危应用漏洞。说明此设置将应用于同一云企业网下的所有网络实例。

单击确定。

创建完成后会自动开启该边界防火墙，您可以手动配置转发路由器与VPC边界防火墙互访路由，实现对转发路由器连接的网络实例之间的流量防护。具体操作，请参见防护云企业网TR连接的VPC之间的所有流量。

管理自动引流场景

在VPC边界防火墙的云企业网（企业版）页签，定位到目标云企业网实例下的转发路由器，单击右侧操作列详情。
在VPC边界防火墙详情面板的引流场景页签，根据业务需要，执行如下操作。
- 关闭引流场景
  1. 单击已开启的引流场景开关。
  2. 在关闭引流场景对话框，您可以通过路由撤销或者路由回滚两种方式关闭引流场景。
    - 路由撤销（推荐）：撤销在创建引流场景时添加的引流路由，对业务无终端影响。关闭引流时间与路由条目有关，预估在30分钟，请您耐心等待。
    - 路由回滚：恢复到创建引流场景前配置的路由表，适用于刚创建引流场景时需要变更或者关闭操作，对业务可能存在中断影响。选择路由回滚后，在关闭引流场景对话框会显示待恢复的路由表详情。
  3. 单击确定。
    
    注意关闭操作无法撤销，请您操作前仔细确认。关闭完成后及时查看业务的流量情况。
- 删除自动引流场景
  将鼠标悬浮在目标引流场景卡片上，单击删除，删除该引流场景。在删除自动引流场景前，您需要先关闭引流场景。
- 编辑自动引流场景
  将鼠标悬浮在目标引流场景卡片上，单击编辑，修改该引流场景。
- 查看路由明细
  将鼠标悬浮在目标引流场景卡片上，单击路由明细，查看该VPC防火墙的引流路由明细。

编辑或删除VPC边界防火墙

如果您需要修改VPC边界防火墙的配置，或者业务已不需要该VPC边界防火墙，可以在VPC边界防火墙的云企业网（企业版）页签，定位到目标云企业网实例下的转发路由器，单击右侧操作列的编辑或删除。

注意

手动模式：如果确定要删除防火墙实例，请提前手动删除指向VPC边界防火墙的路由，再删除边界VPC防火墙，避免业务受影响。
自动模式：如果防火墙状态为已开启状态，需要先删除当前所有引流场景，再删除VPC边界防火墙。

配置云企业网的转发路由器（基础版）的VPC边界防火墙

使用限制

是否支持VPC边界防火墙功能，取决于云企业网所属的阿里云账号是否购买云防火墙付费版，与该云企业网下加入的VPC实例所属的阿里云账号是否购买云防火墙无关。
例如，使用账号A创建了云企业网和VPC_1，使用账号B创建了VPC_2，VPC_1和VPC_2通过账号A的云企业网实现网络互通，此时您可以使用账号A购买云防火墙付费版，用于防护VPC_1和VPC_2的流量。
在使用云防火墙防护跨账号VPC前，您需要授权云防火墙访问云资源，具体操作，请参见授权云防火墙访问云资源。
同一个云企业网在同一地域，可开启VPC边界防火墙的网络实例（包含VPC、VBR和CCN）数量不能超过100个。
VPC边界防火墙支持防护同地域VPC-VPC互访、通过转发路由器实例实现跨地域VPC-VPC互访（即VPC-TR）、VPC和边界路由器VBR（Virtual Border Router）互访（即VPC-IDC）、VPC和云连接网CCN（Cloud Connect Network）互访流量。不支持防护VBR和VBR互访、CCN和CCN互访、CCN和VBR互访流量。

前提条件

已购买了云企业网实例，且已使用云企业网完成了VPC之间的网络互通。具体操作，请参见使用云企业网实现同地域VPC互通（基础版）、使用云企业网实现跨地域跨账号VPC互通（基础版）。
已开通企业版、旗舰版云防火墙。

创建VPC边界防火墙

登录云防火墙控制台，在左侧导航栏，选择防火墙开关 > 防火墙开关。
在防火墙开关页面，单击VPC边界防火墙。
在VPC边界防火墙页签，单击云企业网（基础版）。
定位到目标VPC边界防火墙的云企业网的网络实例，单击操作列下的创建。
云防火墙可以对通过云企业网的转发路由器（即VPC边界防火墙页面的企业版）连接的VPC间流量进行管控。

在创建VPC边界防火墙面板，根据配置向导，完成VPC边界防火墙配置。

当云企业网的转发路由器为基础版时，支持诊断是否满足一键开启VPC边界防火墙的条件。您可以在检测完成后，在诊断记录面板查看诊断结果。如果您已了解VPC边界防火墙的创建细则，可以直接跳过一键开启诊断功能，直接创建。

以下表格介绍了云企业网连通模式下，VPC边界防火墙的配置。


配置项	说明
名称
引流配置	开启引流开关，配置防护的网段。
入侵防御	选择入侵防御模块（IPS）的工作模式、入侵防御策略。 IPS防御模式观察模式：开启观察模式后，对恶意流量进行监控并告警。拦截模式：开启拦截模式后，对恶意流量进行拦截，阻断入侵活动。 IPS防御能力基础规则：开启后，为您的资产提供基础的防护能力，包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C（命令控制）的行为进行管控。虚拟补丁：开启后，实时防御热门的高危应用漏洞。说明此设置将应用于同一云企业网下的所有网络实例。

单击开始创建，创建VPC边界防火墙。
在云企业网（基础版）页签，开启已创建的VPC边界防火墙开关。

说明开启VPC边界防火墙后会自动添加名称为Cloud_Firewall_Security_Group的安全组和放行策略，用于放行到VPC边界防火墙的流量，请不要删除和修改此安全组和策略。

开启或关闭VPC边界防火墙

在防火墙开关页面，单击VPC边界防火墙。
在云企业网（基础版）页签，定位到目标VPC边界防火墙的云企业网的网络实例，开启或关闭其防火墙开关。
开启或关闭VPC边界防火墙开关后，请耐心等待。当VPC边界防火墙的防火墙状态变更为已开启，则表示成功开启VPC边界防火墙。当VPC边界防火墙的防火墙状态变更为未开启，则表示成功关闭VPC边界防火墙。

编辑或删除VPC边界防火墙

如果您需要修改VPC边界防火墙的配置，或者业务已不需要该VPC边界防火墙，可以在VPC边界防火墙的云企业网（基础版）页签，定位到目标VPC边界防火墙的云企业网的网络实例，单击右侧操作列的编辑或删除。

配置高速通道VPC边界防火墙

使用限制

高速通道连接VPC模式下，VPC边界防火墙支持防护同地域的VPC和VPC互访流量，不支持防护VPC跨地域、跨账号、VPC和VBR间的互访流量。

前提条件

已购买高速通道实例，并且已使用高速通道完成了VPC之间的网络互联。具体操作，请参见高速通道同账号VPC互连。
已开通企业版、旗舰版云防火墙。

创建VPC边界防火墙

登录云防火墙控制台。在左侧导航栏，选择防火墙开关 > 防火墙开关。
在防火墙开关页面，单击VPC边界防火墙。
在VPC边界防火墙页签，单击高速通道。
定位到需要创建VPC边界防火墙的高速通道实例，单击操作列下的创建。
如果高速通道实例过多，您可以在列表上方使用地域、VPC实例、云防火墙配置状态过滤列表。例如，您可以将状态设置为未配置并单击搜索，查询所有未配置VPC边界防火墙的高速通道实例。

在创建VPC边界防火墙对话框，完成VPC边界防火墙配置。配置描述如下。


配置项	说明
实例名	定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例，建议您使用具有业务意义的名称，并保证名称的唯一性。
对等互通方式	确认互通方式。对等互通方式指VPC之间或VPC与本地数据中心之间的通信方式，此处固定为高速通道，无需您手动设置。
VPC	确认VPC地域和VPC实例，选择要防护的路由表，并填写目标网段。路由表创建VPC时，系统会为您自动创建一张默认的路由表，用于为专有网络添加系统路由来管理专有网络的流量。VPC支持按需创建多个路由表。详细内容，请参见路由表概述。在云防火墙控制台创建VPC边界防火墙时，云防火墙自动读取您的VPC路由表信息。高速通道支持多个路由表，因此您在高速通道下创建VPC边界防火墙时可看到多个路由表，并可以选择需要防护的VPC路由表。目标网段在路由表下拉列表中选中某个路由时，目标网段会自动展示该路由表的默认目标网段。如果您需要防护其它网段，可手动修改目标网段。支持添加多个网段，多个网段间用英文逗号隔开。
对端VPC	确认对端VPC地域和VPC实例，选择要防护的路由表，并填写目标网段。
入侵防御	选择要开启的入侵防御策略，可选项： IPS防御模式观察模式：开启观察模式后，对恶意流量进行监控并告警。拦截模式：开启拦截模式后，对恶意流量进行拦截，阻断入侵活动。 IPS防御能力基础规则：开启后，为您的资产提供基础的防护能力，包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C（命令控制）的行为进行管控。虚拟补丁：开启后，实时防御热门的高危应用漏洞。
开启VPC边界防火墙	开启开关，则在创建VPC边界防火墙后，自动开启VPC边界防火墙开关。

单击提交并确认。

开启或关闭VPC边界防火墙

在防火墙开关页面，单击VPC边界防火墙。
在高速通道页签，定位到目标VPC边界防火墙的高速通道实例，开启或关闭其防火墙开关。
开启或关闭VPC边界防火墙开关后，请耐心等待。当VPC边界防火墙的防火墙状态变更为已开启，则表示成功开启VPC边界防火墙。当VPC边界防火墙的防火墙状态变更为未开启，则表示成功关闭VPC边界防火墙。

编辑或删除VPC边界防火墙

如果您需要修改VPC边界防火墙的配置，或者业务已不需要该VPC边界防火墙，可以在VPC边界防火墙的高速通道页签，定位到目标VPC边界防火墙的高速通道实例，单击右侧操作列的编辑或删除。

防护VPC和本地数据中心（IDC）间的流量

前提条件

已开通企业版、旗舰版云防火墙。

VPC边界防火墙支持对VPC和VBR之间的流量（即VPC到本地数据中心之间的流量）进行防护。使用云企业网连接VPC和本地数据中心的情况下，该云企业网的VPC边界防火墙开启后，会自动对该VPC和VBR之间的流量开启防护，无需为云企业网VBR单独创建和开启VPC边界防火墙。

登录云防火墙控制台，在防火墙开关页面，您可以在VPC边界防火墙页签的云企业网（基础版）和云企业网（企业版）列表，查看到云企业网VBR的防护信息。

后续步骤

VPC边界防火墙创建成功后，您可以在访问控制 > VPC边界防火墙页面，设置VPC边界防火墙策略，控制VPC间的访问活动。更多信息，请参见VPC边界防火墙访问策略。
只有开启VPC边界防火墙后，您才可以访问VPC访问活动页面，查看VPC网络间的相互访问流量。