VPC边界防火墙帮助您检测两个VPC间的通信流量,是一种管控专有网络VPC间流量的分布式防火墙。如果您的VPC已通过高速通道连接,或者同属于一个云企业网,则您可以在高速通道或云企业网下创建VPC边界防火墙。创建并开启VPC边界防火墙后,您才可以使用云防火墙分析和控制VPC间的访问流量。

背景信息

VPC边界防火墙只能够在已相互连接的VPC之间创建。专有网络VPC支持通过高速通道或者云企业网实现连接。

操作步骤

  1. 登录云防火墙控制台
  2. 在左侧导航栏,单击防火墙开关
  3. 防火墙开关页面,单击VPC边界防火墙页签。
  4. 根据VPC的网络连通类型,选择在高速通道或云企业网下创建VPC边界防火墙。
    • 在高速通道下创建VPC边界防火墙
      1. VPC边界防火墙页面,单击高速通道页签。
      2. 定位到要操作的VPC实例,单击其操作列下的创建
        如果VPC实例过多,您可以在列表上方使用地域、VPC实例、云防火墙配置状态过滤列表。例如,您可以将状态设置为未配置并单击搜索,查询所有未配置云防火墙的VPC实例。高速通道,未配置
      3. 创建VPC边界防火墙对话框,完成VPC边界防火墙配置。配置描述如下。
        配置项 说明
        实例名 定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您使用具有业务意义的名称,并保证名称的唯一性。
        对等互通方式 确认互通方式。对等互通方式指VPC之间或VPC与本地数据中心之间的通信方式,此处固定为高速通道
        VPC 确认VPC地域和VPC实例,选择要防护的路由表,并填写目标网段
        • 路由表

          创建VPC时,系统会为您自动创建一张默认的路由表,用于为专有网络添加系统路由来管理专有网络的流量。VPC支持按需创建多个路由表。详细介绍请参见路由表概述

          在云防火墙控制台创建VPC边界防火墙时,云防火墙自动读取您的VPC路由表信息。高速通道支持多个路由表,因此您在高速通道下创建VPC边界防火墙时可看到多个路由表,并可以选择需要防护的VPC路由表。

        • 目标网段

          在路由表下拉列表中选中某个路由时,目标网段会自动展示该路由表的默认目标网段。如果您需要防护其它网段,可手动修改目标网段。支持添加多个网段,多个网段间用英文逗号隔开。
        对端VPC 确认对端VPC地域和VPC实例,选择要防护的路由表,并填写目标网段。关于路由表和目标网段的描述,请参见VPC的配置说明。
        IPS防御模式 选择入侵防御模块(IPS)的工作模式,可选项:
        • 观察模式:开启观察模式后,可对恶意流量进行监控并告警。
        • 拦截模式:开启拦截模式后,可对恶意流量进行拦截,阻断入侵活动。
        IPS防御能力 勾选要开启的入侵防御策略,可选项:
        • 基础规则:开启后可为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。
        • 虚拟补丁:开启后可实时防御热门的高危应用漏洞。
        开启VPC边界防火墙 开启开关,则在创建VPC边界防火墙后,自动开启VPC边界防火墙开关。如果您无需自动开启VPC开关,关闭该开关即可。
        高速通道VPC
      4. 单击提交并确认提交。
        VPC边界防火墙创建完成。若您在VPC边界防火墙配置中选择开启VPC边界防火墙,则VPC边界防火墙在开启中,请耐心等待。当VPC边界防火墙的防火墙状态变更为已开启,则VPC边界防火墙正式生效。高速通道,已开启
    • 在云企业网下创建VPC边界防火墙
      1. VPC边界防火墙页面,单击云企业网页签。
      2. 定位到要操作的云企业网实例,单击其操作列下的创建
        如果云企业网实例过多,您可以在列表上方使用地域、云企业网实例、网络实例、云防火墙配置状态过滤列表。例如,您可以将状态设置为未配置并单击搜索,查询所有未配置云防火墙的云企业网实例。云企业网,未配置
      3. 创建VPC边界防火墙对话框,完成VPC边界防火墙配置。配置描述如下。
        配置项 说明
        实例名 定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您使用具有业务意义的名称,并保证名称的唯一性。
        对等互通方式 确认互通方式。对等互通方式指VPC之间或VPC与本地数据中心之间的通信方式,此处固定为云企业网
        网络实例 确认地域和网络实例,并选择要防护的目标网段

        单击目标网段右侧的新增目标网段,可添加多个网段。

        IPS防御模式 选择入侵防御模块(IPS)的工作模式,可选项:
        • 观察模式:开启观察模式后,可对恶意流量进行监控并告警。
        • 拦截模式:开启拦截模式后,可对恶意流量进行拦截,阻断入侵活动。
        说明 此设置将应用于同一云企业网下的所有VPC。
        IPS防御能力 勾选要开启的入侵防御策略,可选项:
        • 基础规则:开启后可为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。
        • 虚拟补丁:开启后可实时防御热门的高危应用漏洞。
        说明 此设置将应用于同一云企业网下的所有VPC。
        开启VPC防火墙开关 开启开关,则云企业网到已配置的目标网段的流量会受到云防火墙的保护。如果您无需自动开启VPC防火墙开关,关闭该开关即可。
        云企业网VPC
      4. 单击提交并确认提交。
        VPC边界防火墙创建完成。若您在VPC边界防火墙配置中选择开启VPC边界防火墙,则VPC边界防火墙在开启中,请耐心等待。当VPC边界防火墙的防火墙状态变更为已开启,则VPC边界防火墙正式生效。云企业网,已开启

后续步骤

VPC边界防火墙创建成功后,您可以根据需要执行以下操作:
  • VPC边界防火墙页面编辑或者删除已创建的VPC边界防护墙实例。
  • VPC边界防火墙页面开启或关闭VPC边界防火墙。更多信息,请参见开启或关闭VPC边界防火墙
  • 安全策略 > 访问控制页面设置VPC边界防火墙策略,控制VPC间的访问活动。更多信息,请参见VPC边界防火墙访问控制

如果VPC边界防火墙已开启,则您可以在网络流量分析 > VPC访问活动页面查看到VPC间访问流量的数据统计和分析结果。更多信息,请参见VPC访问活动