VPC边界防火墙帮助您检测和管控两个VPC间的通信流量。如果您的VPC已通过高速通道连接,或者同属于一个云企业网,您可以在高速通道或云企业网下创建VPC边界防火墙。创建并开启VPC边界防火墙后,您才可以使用云防火墙控制VPC间的访问流量。

前提条件

已购买了云企业网或高速通道实例,并且已使用云企业网或高速通道完成了两个VPC之间的网络互联。详细操作,请参见同账号VPC互连

背景信息

VPC边界防火墙支持防护已相互连接的两个VPC之间的流量,以及VPC和本地数据中心之间的流量。
VPC边界防火墙适用于以下场景:

版本支持说明

云防火墙企业版、旗舰版支持VPC边界防火墙,高级版不支持。高级版云防火墙控制台不展示VPC边界防火墙页面。

注意事项

您在云防火墙控制台创建VPC边界防火墙后,云防火墙会在专有网络VPC中自动为您创建以下资源:
  • VPC资源:名称为Cloud_Firewall_VPC
  • 交换机资源:名称为Cloud_Firewall_VSWITCH,其网段为10.219.219.216/29。
  • 自定义路由表条目:备注信息为Created by cloud firewall. Do not modify or delete it.自定义路由表条目备注信息
请注意以下几点:
  • 不要把其他业务资源加入到Cloud_Firewall_VPC中。
  • 不要手动修改和删除此VPC内的网络资源。
  • 网络规划时请避开使用VPC边界防火墙交换机的网段10.219.219.216/29,防止因为网段冲突导致跨VPC互访流量不通。

为云企业网创建VPC边界防火墙

云防火墙支持云企业网连通模式下跨账号VPC防护。跨账号是指当前阿里云账号下云企业网中存在另一个账号开通的专有网络VPC。云企业网下存在跨账号开通的VPC时,需要先授权云防火墙访问该VPC所属阿里云账号下的云资产。未完成对该VPC所属阿里云账号授权的情况下,您为该云企业网创建VPC边界防火墙时,页面会提示存在未授权的网络实例,不允许创建未授权提示
您需要执行以下步骤完成授权操作:
  1. 使用未授权的账号登录云防火墙控制台
  2. 云防火墙服务关联角色对话框,单击确定,完成授权操作。
说明 云企业网连通VPC模式下,有以下注意事项:
  • 云企业网场景的VPC边界防火墙支持VPC跨地域、跨账号。如果该云企业网所属的阿里云账号购买了云防火墙付费版(即企业版或旗舰版), 其他账号下(未购买云防火墙付费版)开通的VPC加入到该云企业网时, 也支持VPC边界防火墙的防护功能。VPC边界防火墙功能是否支持,取决于云企业网所在云账号是否有购买付费版,与该云企业网下加入的VPC实例所属的云账号是否有购买云防火墙无关。
  • 同一个云企业网同地域可开启VPC边界防火墙的VPC数量最大规格是10个,如需增加规格,请提交工单
  • VPC边界防火墙支持防护VPC和VPC互访、VPC和VBR互访(即VPC-IDC)、VPC和CCN互访流量,不支持防护VBR和VBR互访、CCN和CCN互访、CCN和VBR互访流量。
如果您的VPC是通过云企业网连接,请参考以下步骤创建VPC边界防火墙。
说明 创建、开启、关闭或删除VPC边界防火墙时,会自动修改您的VPC路由表中的自定义路由,导致在一个极短的时间内会出现网络中断。如果需要批量操作或频繁开关VPC边界防火墙,为不影响您的业务,建议在业务流量较小的低峰期进行。
  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择防火墙开关 > 防火墙开关
  3. 防火墙开关页面,单击VPC边界防火墙页签。
  4. VPC边界防火墙页签,单击云企业网
  5. 定位到需要创建VPC防火墙的云企业网实例,单击操作列下的创建
    云防火墙可以对通过云企业网转发路由器TR(即VPC边界防火墙页面的企业版)连接的VPC间流量进行管控。云企业网TR
    如果云企业网实例过多,您可以在列表上方使用地域、云企业网实例、网络实例、云防火墙配置状态过滤列表。例如,您可以将状态设置为未配置并单击搜索,查询所有未配置云防火墙的云企业网实例。
  6. 创建VPC边界防火墙对话框,完成VPC边界防火墙配置。

    以下表格介绍了云企业网连通模式下,VPC边界防火墙的配置。

    配置项 说明
    名称 定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您根据业务的实际情况输入具有意义的名称,并保证名称的唯一性。
    路由模式 经过云防火墙的流量的转发路由模式,仅云企业网TR企业版需要选择路由模式。支持以下选项:
    • 自动模式:自动路由模式,由云防火墙来自动分配VPC边界防火墙所属的VPC和Vswitch网段。
    • 手动模式:如果您已自定义规划多VPC网络架构和网段,且通过CEN-TR互连,同时云防火墙网段也已规划好,路由模式选择CEN-TR手动模式,可以实现手动分配VPC边界防火墙所属的VPC和Vswitch网段,而不改变现有网络架构。
      注意 手动模式下,您还需要选择该云企业网实例连接的VPC网络和使用的交换机。选择了手动模式,需要在云防火墙实例到期前及时续费,否则会导致云防火墙服务不可用时该VPC边界防火墙引流失败,从而引起对应网络中断。
    IPS防御模式 选择入侵防御模块(IPS)的工作模式,可选项:
    • 观察模式:开启观察模式后,可对恶意流量进行监控并告警。
    • 拦截模式:开启拦截模式后,可对恶意流量进行拦截,阻断入侵活动。
    说明 此设置将应用于同一云企业网下的所有VPC。
    IPS防御能力 选择要开启的入侵防御策略,可选项:
    • 基础规则:开启后可为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。
    • 虚拟补丁:开启后可实时防御热门的高危应用漏洞。
    说明 此设置将应用于同一云企业网下的所有VPC。
  7. 单击提交并确认提交,完成VPC边界防火墙的创建。
  8. 单击防火墙开关防火墙开关按钮
    开启VPC边界防火墙开关后,请耐心等待。当VPC边界防火墙的防火墙状态变更为已开启,则VPC边界防火墙正式生效。云企业网已开启
说明 开启VPC边界防火墙后会自动添加名称为Cloud_Firewall_Security_Group的安全组和放行策略,用于放行到VPC边界防火墙的流量,请不要删除和修改此安全组和策略。

为高速通道创建VPC边界防火墙

说明 高速通道连接VPC模式下,VPC边界防火墙支持防护同地域的VPC和VPC互访流量,不支持防护VPC跨地域、跨账号、VPC和VBR间的互访流量。

如果您的VPC是通过高速通道连接,请参考以下步骤创建VPC边界防火墙。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择防火墙开关 > 防火墙开关
  3. 防火墙开关页面,单击VPC边界防火墙页签。
  4. VPC边界防火墙页面,单击高速通道页签。
  5. 定位到需要创建VPC防火墙的高速通道实例,单击操作列下的创建
    如果高速通道实例过多,您可以在列表上方使用地域、VPC实例、云防火墙配置状态过滤列表。例如,您可以将状态设置为未配置并单击搜索,查询所有未配置VPC边界防火墙的高速通道实例。
  6. 创建VPC边界防火墙对话框,完成VPC边界防火墙配置。配置描述如下。
    配置项 说明
    实例名 定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您使用具有业务意义的名称,并保证名称的唯一性。
    对等互通方式 确认互通方式。对等互通方式指VPC之间或VPC与本地数据中心之间的通信方式,此处固定为高速通道,无需您手动设置。
    VPC 确认VPC地域和VPC实例,选择要防护的路由表,并填写目标网段
    • 路由表

      创建VPC时,系统会为您自动创建一张默认的路由表,用于为专有网络添加系统路由来管理专有网络的流量。VPC支持按需创建多个路由表。详细介绍请参见路由表概述

      在云防火墙控制台创建VPC边界防火墙时,云防火墙自动读取您的VPC路由表信息。高速通道支持多个路由表,因此您在高速通道下创建VPC边界防火墙时可看到多个路由表,并可以选择需要防护的VPC路由表。

    • 目标网段

      在路由表下拉列表中选中某个路由时,目标网段会自动展示该路由表的默认目标网段。如果您需要防护其它网段,可手动修改目标网段。支持添加多个网段,多个网段间用英文逗号隔开。
    对端VPC 确认对端VPC地域和VPC实例,选择要防护的路由表,并填写目标网段。关于路由表和目标网段的描述,请参见VPC的配置说明。
    入侵防御 选择要开启的入侵防御策略,可选项:
    • 基础规则:开启后可为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。
    • 虚拟补丁:开启后可实时防御热门的高危应用漏洞。
    开启VPC边界防火墙 开启开关,则在创建VPC边界防火墙后,自动开启VPC边界防火墙开关。如果您无需自动开启VPC开关,关闭该开关即可。
  7. 单击提交并确认提交。
    VPC边界防火墙创建完成。若您在VPC边界防火墙配置中选择开启VPC边界防火墙,则VPC边界防火墙在开启中,请耐心等待。当VPC边界防火墙的防火墙状态变更为已开启,则VPC边界防火墙正式生效。高速通道已开启

防护VPC和本地数据中心(IDC)间的流量

VPC边界防火墙支持对VPC和VBR之间的流量(即VPC到本地数据中心之间的流量)进行防护。使用云企业网VBR连接VPC和本地数据中心的情况下,该云企业网的VPC边界防火墙开启后,会自动对该VPC和VBR之间的流量开启防护,无需为云企业网VBR单独创建和开启VPC防火墙。

登录云防火墙控制台后,打开防火墙开关页面,您可以在VPC防火墙页签的云企业网列表中,查看到云企业网VBR的防护信息。VBR-VPC

后续步骤

VPC边界防火墙创建成功后,您可以根据需要执行以下操作:
  • VPC边界防火墙页面,编辑或者删除已创建的VPC边界防护墙实例。
  • VPC边界防火墙页面,开启或关闭VPC边界防火墙。更多信息,请参见开启或关闭VPC边界防火墙
  • 访问控制 > 访问控制页面,设置VPC边界防火墙策略,控制VPC间的访问活动。更多信息,请参见VPC边界防火墙

如果VPC边界防火墙已开启,您可以在网络流量分析 > VPC访问活动页面,查看VPC间访问流量的数据统计和分析结果。更多信息,请参见VPC访问活动