本文介绍如何配置企业版转发路由器的VPC边界防火墙。

应用场景

支持防护:
  • 同地域多个专有网络VPC(Virtual Private Cloud)互访的流量
  • 通过企业版转发路由器TR(Transit Router)实现跨地域多个VPC互访的流量
  • VPC和边界路由器VBR(Virtual Border Router)互访的流量(即VPC和本地数据中心IDC互访的流量)
  • VPC和云连接网CCN(Cloud Connect Network)互访的流量
  • 多个VBR互访的流量
  • CCN和VBR互访的流量

不支持防护:多个CCN互访的流量

使用限制

  • 开启VPC边界防火墙时,需确保创建的VPC总数量不超过配额。创建的VPC中,包含开启VPC边界防火墙时自动新增的VPC(即新增一个实例名称为Cloud_Firewall_VPC的VPC)。VPC配额不足的情况下,您将无法开启VPC边界防火墙。关于VPC的数量限制,请参见限制与配额

    例如,同一地域内支持创建的VPC的数量默认为10个,由于开启VPC边界防火墙后会自动创建一个VPC,此时您最多可以再创建9个VPC。

  • 当企业版转发路由器的路由表内存在除100.64.0.0/10内的静态路由时,不支持配置引流模式。
  • 自动引流模式不支持VPC实例、VBR实例、TR实例同时存在多个引流场景、不支持将基础版转发路由器添加到引流模式、不支持有路由冲突的转发路由器、不支持VPC的前缀列表功能、不支持VPN网关。

前提条件

创建VPC边界防火墙

  1. 登录云防火墙控制台在左侧导航栏,单击防火墙开关
  2. 防火墙开关页面,单击VPC边界防火墙
  3. VPC边界防火墙页签,单击云企业网(企业版)
  4. 定位到目标VPC边界防火墙的云企业网实例下的转发路由器,单击操作列的创建
    云防火墙可以对通过企业版转发路由器连接的网络实例(包括VPC实例、VBR实例、TR实例)间流量进行管控。
    • 自动引流模式(推荐)

      自动引流模式下,您可以结合自身业务情况创建网络实例级别引流场景,VPC边界防火墙会根据引流场景自动在企业版网转发路由器上配置路由,并自动创建VPC边界防火墙弹性网卡完成流量牵引。

      1. 创建防火墙面板,按照下表介绍配置VPC边界防火墙。然后单击确定
        配置项说明
        防火墙基本信息防火墙名称定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您根据业务的实际情况输入具有意义的名称,并保证名称的唯一性。
        分配防火墙所需要的网段为自动创建的云防火墙的VPC分配网段,并且从分配的VPC网段中划分3个子网网段。云防火墙VPC的交换机3个子网网段的掩码需小于等于28位,且不与网络规划的网段冲突。
        入侵防御选择入侵防御模块(IPS)的工作模式、入侵防御策略。
        • IPS防御模式
          • 观察模式:开启观察模式后,对恶意流量进行监控并告警。
          • 拦截模式:开启拦截模式后,对恶意流量进行拦截,阻断入侵活动。
        • IPS防御能力
          • 基础规则:开启基础规则后,为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。
          • 虚拟补丁:开启虚拟补丁后,实时防御热门的高危应用漏洞。
        说明 此设置将应用于同一云企业网下的所有网络实例。
      2. 待创建完成后,单击下一步。在创建引流场景面板,按照下表介绍配置引流场景。

        您也可以暂时不配置引流场景,根据业务需要稍后配置。在云企业网(企业版)页签,定位到目标云企业网实例下的转发路由器,单击防火墙状态列下的立即配置,在引流场景页签,单击立即创建引流场景,然后单击创建引流场景进行配置。

        配置项说明
        基础信息模板名称:设置引流模板的名称。
        场景类型选择使用VPC边界防火墙管控和防护的场景类型。
        • 点到点:两个网元之间流量经过云防火墙管控。适用于简单的网络拓扑环境。
        • 点到多点:一个网元与多个网元之间的流量经过云防火墙管控。适用于星形网络拓扑环境;支持子引流实例选择ALL,一键实现到主引流实例的所有流量经过云防火墙管控。
        • 多点间互联:多个网元之间的流量经过云防火墙管控。适用于Full Mesh网状网络拓扑环境。
        说明 网元即通过企业版转发路由器连接的网络实例,包含专有网络VPC实例、边界路由器VBR实例、转发路由器TR实例。
        引流对象配置引流实例类型引流实例ID
        重要 自动模式引流下,防护VPC的数量按照引流场景配置的网元(VPC、TR、VBR)个数计量。
      3. 单击确定

        创建引流过程时间较长,预计在30分钟内完成引流配置。完成后,即可实现对转发路由器连接的网络实例之间的流量防护。

    • 手动引流模式

      手动引流模式下,您可以结合自身业务情况手动在企业版转发路由器上创建VPC边界防火墙弹性网卡并配置路由,将流量牵引至VPC边界防火墙弹性网卡。

      重要 手动引流模式下,您还需要选择该云企业网实例连接的VPC网络和使用的交换机。选择了手动模式,需要在云防火墙实例到期前及时续费,否则会导致云防火墙服务不可用时该VPC边界防火墙引流失败,从而引起对应网络中断。
      1. 创建防火墙面板,配置VPC边界防火墙。
        配置项说明
        防火墙基本信息
        • 防火墙名称定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您根据业务的实际情况输入具有意义的名称,并保证名称的唯一性。
        • 专有网络:为防火墙配置专有网络。
        • 交换机:为防火墙配置交换机。
        入侵防御选择入侵防御模块(IPS)的工作模式、入侵防御策略。
        • IPS防御模式
          • 观察模式:开启观察模式后,对恶意流量进行监控并告警。
          • 拦截模式:开启拦截模式后,对恶意流量进行拦截,阻断入侵活动。
        • IPS防御能力
          • 基础规则:开启基础规则后,为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。
          • 虚拟补丁:开启虚拟补丁后,实时防御热门的高危应用漏洞。
        说明 此设置将应用于同一云企业网下的所有网络实例。
      2. 单击确定
    说明 开启VPC边界防火墙后,如果增加或者删除VPC路由表信息,云防火墙需要15~30分钟的时间完成路由学习。建议您等待云防火墙路由学习完成后观察路由表生效情况,或使用钉钉加入阿里云云防火墙问题答疑群聊(群号:33081734)进行反馈或咨询。
    VPC边界防火墙创建完成后,云防火墙会在专有网络VPC中自动为您创建以下资源:
    • VPC资源:名称为Cloud_Firewall_VPC
      重要 请勿将其他业务资源加入到Cloud_Firewall_VPC,否则会导致删除VPC边界防火墙时,您添加的其他业务资源无法删除。请勿手动修改和删除此VPC内的网络资源。
    • 交换机资源:名称为Cloud_Firewall_VSWITCH
    • 自定义路由表条目:备注信息为Created by cloud firewall. Do not modify or delete it.
    开启VPC边界防火墙后,云服务器ECS(Elastic Compute Service)会自动添加名称为Cloud_Firewall_Security_Group的安全组,并且为该安全组自动配置了放行策略(即授权策略),用于放行VPC边界防火墙到ECS的入方向流量。
    重要 Cloud_Firewall_Security_Group的安全组和放行策略不可以删除,否则会导致VPC边界防火墙到ECS的入方向流量无法受到VPC边界防火墙的防护。

    如果需要批量操作或频繁开关VPC边界防火墙,为不影响您的业务,建议在业务流量较小的低峰期进行。

    警告
    • 关闭或者删除VPC边界防火墙,在关闭过程中可能会导致流量闪断。
    • 创建VPC边界防火墙后,变更所创建的云防火墙VPC中的交换机及路由表,可能会导致流量中断。
    • 关闭或删除企业版转发路由器手动引流模式VPC边界防火墙,可能会导致流量中断。

管理自动引流模式

  1. VPC边界防火墙云企业网(企业版)页签,定位到目标云企业网实例下的转发路由器,单击右侧操作详情
  2. VPC边界防火墙详情面板的引流场景页签,根据业务需要,执行如下操作。
    • 关闭引流场景
      1. 单击已开启的引流场景开关。
      2. 关闭引流场景对话框,您可以通过路由撤销或者路由回滚两种方式关闭引流场景。
        • 路由撤销(推荐):撤销在创建引流场景时添加的引流路由,对业务无终端影响。关闭引流时间与路由条目有关,预估在30分钟,请您耐心等待。
        • 路由回滚:恢复到创建引流场景前配置的路由表,适用于刚创建引流场景时需要变更或者关闭操作,对业务可能存在中断影响。选择路由回滚后,在关闭引流场景对话框会显示待恢复的路由表详情。
      3. 单击确定
        重要 关闭操作无法撤销,请您操作前仔细确认。关闭完成后及时查看业务的流量情况。
    • 删除自动引流场景

      将鼠标悬浮在目标引流场景卡片上,单击删除,删除该引流场景。在删除自动引流场景前,您需要先关闭引流场景。

    • 编辑自动引流场景

      将鼠标悬浮在目标引流场景卡片上,单击编辑,修改该引流场景。

    • 查看路由明细

      将鼠标悬浮在目标引流场景卡片上,单击路由明细,查看该VPC防火墙的引流路由明细。

编辑或删除VPC边界防火墙

如果您需要修改VPC边界防火墙的配置,或者业务已不需要该VPC边界防火墙,可以在VPC边界防火墙云企业网(企业版)页签,定位到目标云企业网实例下的转发路由器,单击右侧操作列的编辑删除

重要
  • 手动模式:如果确定要删除防火墙实例,请提前手动删除指向VPC边界防火墙的路由,再删除边界VPC防火墙,避免业务受影响。
  • 自动模式:如果防火墙状态为已开启状态,需要先删除当前所有引流场景,再删除VPC边界防火墙。

后续步骤

  • 开启VPC边界防火墙后,您可以设置VPC边界防火墙策略,控制VPC之间的访问活动。具体操作,请参见VPC边界防火墙访问策略
  • 开启VPC边界防火墙后,您可以通过VPC互访功能,查看VPC之间的相互访问流量。具体操作,请参见VPC互访
  • 开启VPC边界防火墙后,您可以通过VPC防护功能,查看云防火墙拦截到的VPC之间的异常事件信息。具体操作,请参见VPC防护