创建VPC边界防火墙 - 云防火墙

前提条件

已购买了云企业网或高速通道实例，并且已使用云企业网或高速通道完成了两个VPC之间的网络互联。详细操作，请参见高速通道同账号VPC互联、云企业网同地域VPC互联。

为云企业网创建VPC边界防火墙：已实现云企业网VPC互联。

版本支持说明

云防火墙企业版、旗舰版支持VPC边界防火墙，高级版不支持。

注意事项

您在云防火墙控制台创建VPC边界防火墙后，云防火墙会在专有网络VPC中自动为您创建以下资源：

VPC资源：名称为Cloud_Firewall_VPC。
不要把其他业务资源加入到Cloud_Firewall_VPC中。不要手动修改和删除此VPC内的网络资源。
交换机资源：名称为Cloud_Firewall_VSWITCH，其网段为10.219.219.216/29。
网络规划时请避开使用VPC边界防火墙交换机的网段10.219.219.216/29，防止因为网段冲突导致跨VPC互访流量不通。
自定义路由表条目：备注信息为Created by cloud firewall. Do not modify or delete it.。
创建、开启、关闭或删除VPC边界防火墙时，会自动修改您的VPC路由表中的自定义路由，导致短时间内会出现网络中断。如果需要批量操作或频繁开关VPC边界防火墙，为不影响您的业务，建议在业务流量较小的低峰期进行。

为云企业网创建VPC边界防火墙

云防火墙支持云企业网中的跨账号VPC流量防护，即当两个不同阿里云账号下VPC通过云企业网互通时，您仍可以使用云防火墙防护连通的VPC流量。在使用云防火墙防护跨账号VPC前，您需要授权云防火墙访问云资源，具体操作，请参见授权云防火墙访问云资源。

注意

是否支持VPC边界防火墙功能取决于云企业网所属的阿里云账号是否有购买云防火墙付费版，与该云企业网下加入的VPC实例所属的阿里云账号是否有购买云防火墙无关。
例如，使用账号A创建了云企业网和VPC_1，使用账号B创建了VPC_2，VPC_1和VPC_2通过账号A的云企业网实现网络互通，此时您可以使用账号A购买云防火墙付费版，用于防护VPC_1和VPC_2的流量。
同一个云企业网同地域可开启VPC边界防火墙的VPC数量最大规格是10个，如需增加规格，请提交工单。
VPC边界防火墙支持防护VPC和VPC互访、VPC和VBR互访（即VPC-IDC）、VPC和CCN互访流量，不支持防护VBR和VBR互访、CCN和CCN互访、CCN和VBR互访流量。

登录云防火墙控制台，在左侧导航栏，选择防火墙开关 > 防火墙开关。
在防火墙开关页面，单击VPC边界防火墙页签。
在VPC边界防火墙页签，单击云企业网。
定位到需要创建VPC防火墙的云企业网实例，单击操作列下的创建。
云防火墙可以对通过云企业网转发路由器TR（即VPC边界防火墙页面的企业版）连接的VPC间流量进行管控。

如果云企业网实例过多，您可以在列表上方使用地域、云企业网实例、网络实例、云防火墙配置状态过滤列表。例如，您可以将状态设置为未配置并单击搜索，查询所有未配置云防火墙的云企业网实例。

在创建VPC边界防火墙对话框，完成VPC边界防火墙配置。

当云企业网为基础版时，支持诊断是否满足一键开启VPC边界防火墙的条件。您可以在检测完成后，在诊断记录面板查看诊断结果。

以下表格介绍了云企业网连通模式下，VPC边界防火墙的配置。


配置项	说明
名称	定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例，建议您根据业务的实际情况输入具有意义的名称，并保证名称的唯一性。
路由模式	经过云防火墙的流量的转发路由模式，仅云企业网TR企业版需要选择路由模式。支持以下选项：自动模式：自动路由模式，由云防火墙来自动分配VPC边界防火墙所属的VPC和Vswitch网段。手动模式：在自定义网络规划时，可通过手动模式，自主分配VPC边界防火墙所属的VPC和Vswitch网段，不改变现有网络框架。注意手动模式下，您还需要选择该云企业网实例连接的VPC网络和使用的交换机。选择了手动模式，需要在云防火墙实例到期前及时续费，否则会导致云防火墙服务不可用时该VPC边界防火墙引流失败，从而引起对应网络中断。
IPS防御模式	选择入侵防御模块（IPS）的工作模式，可选项：观察模式：开启观察模式后，可对恶意流量进行监控并告警。拦截模式：开启拦截模式后，可对恶意流量进行拦截，阻断入侵活动。说明此设置将应用于同一云企业网下的所有VPC。
IPS防御能力	选择要开启的入侵防御策略，可选项：基础规则：开启后可为您的资产提供基础的防护能力，包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C（命令控制）的行为进行管控。虚拟补丁：开启后可实时防御热门的高危应用漏洞。说明此设置将应用于同一云企业网下的所有VPC。

单击提交并确认提交，完成VPC边界防火墙的创建。
单击防火墙开关。
开启VPC边界防火墙开关后，请耐心等待。当VPC边界防火墙的防火墙状态变更为已开启，则VPC边界防火墙正式生效。

说明开启VPC边界防火墙后会自动添加名称为Cloud_Firewall_Security_Group的安全组和放行策略，用于放行到VPC边界防火墙的流量，请不要删除和修改此安全组和策略。

为高速通道创建VPC边界防火墙

说明高速通道连接VPC模式下，VPC边界防火墙支持防护同地域的VPC和VPC互访流量，不支持防护VPC跨地域、跨账号、VPC和VBR间的互访流量。

登录云防火墙控制台。在左侧导航栏，选择防火墙开关 > 防火墙开关。
在防火墙开关页面，单击VPC边界防火墙页签。
在VPC边界防火墙页面，单击高速通道页签。
定位到需要创建VPC防火墙的高速通道实例，单击操作列下的创建。
如果高速通道实例过多，您可以在列表上方使用地域、VPC实例、云防火墙配置状态过滤列表。例如，您可以将状态设置为未配置并单击搜索，查询所有未配置VPC边界防火墙的高速通道实例。

在创建VPC边界防火墙对话框，完成VPC边界防火墙配置。配置描述如下。


配置项	说明
实例名	定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例，建议您使用具有业务意义的名称，并保证名称的唯一性。
对等互通方式	确认互通方式。对等互通方式指VPC之间或VPC与本地数据中心之间的通信方式，此处固定为高速通道，无需您手动设置。
VPC	确认VPC地域和VPC实例，选择要防护的路由表，并填写目标网段。路由表创建VPC时，系统会为您自动创建一张默认的路由表，用于为专有网络添加系统路由来管理专有网络的流量。VPC支持按需创建多个路由表。详细介绍请参见路由表概述。在云防火墙控制台创建VPC边界防火墙时，云防火墙自动读取您的VPC路由表信息。高速通道支持多个路由表，因此您在高速通道下创建VPC边界防火墙时可看到多个路由表，并可以选择需要防护的VPC路由表。目标网段在路由表下拉列表中选中某个路由时，目标网段会自动展示该路由表的默认目标网段。如果您需要防护其它网段，可手动修改目标网段。支持添加多个网段，多个网段间用英文逗号隔开。
对端VPC	确认对端VPC地域和VPC实例，选择要防护的路由表，并填写目标网段。关于路由表和目标网段的描述，请参见VPC的配置说明。
入侵防御	选择要开启的入侵防御策略，可选项：基础规则：开启后可为您的资产提供基础的防护能力，包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C（命令控制）的行为进行管控。虚拟补丁：开启后可实时防御热门的高危应用漏洞。
开启VPC边界防火墙	开启开关，则在创建VPC边界防火墙后，自动开启VPC边界防火墙开关。如果您无需自动开启VPC开关，关闭该开关即可。

单击提交并确认提交。
VPC边界防火墙创建完成。若您在VPC边界防火墙配置中选择开启VPC边界防火墙，则VPC边界防火墙在开启中，请耐心等待。当VPC边界防火墙的防火墙状态变更为已开启，则VPC边界防火墙正式生效。

防护VPC和本地数据中心（IDC）间的流量

VPC边界防火墙支持对VPC和VBR之间的流量（即VPC到本地数据中心之间的流量）进行防护。使用云企业网连接VPC和本地数据中心的情况下，该云企业网的VPC边界防火墙开启后，会自动对该VPC和VBR之间的流量开启防护，无需为云企业网VBR单独创建和开启VPC防火墙。

登录云防火墙控制台，在防火墙开关页面，您可以在VPC防火墙页签的云企业网列表中，查看到云企业网VBR的防护信息。

后续步骤

VPC边界防火墙创建成功后，您可以根据需要执行以下操作：

在VPC边界防火墙页面，编辑或者删除已创建的VPC边界防火墙实例。
在VPC边界防火墙页面，开启或关闭VPC边界防火墙。更多信息，请参见开启或关闭VPC边界防火墙。
在访问控制 > 访问控制页面，设置VPC边界防火墙策略，控制VPC间的访问活动。更多信息，请参见VPC边界防火墙。

如果VPC边界防火墙已开启，您可以在网络流量分析 > VPC访问活动页面，查看VPC间访问流量的数据统计和分析结果。更多信息，请参见VPC访问活动。