云防火墙提供NAT防火墙功能,实现对私网IP访问公网的流量进行访问控制和防护。NAT防火墙是一种虚拟化的防火墙,创建并开启NAT防火墙后,经过NAT网关的流量会自动切换到云防火墙NAT防火墙。本文介绍如何配置NAT防火墙。

背景信息

云防火墙服务到期后,如果您未及时续费,您所创建的NAT防火墙将会自动释放,同时流量路由会切换至您原始的由内网访问公网的路由。此时,可能会造成业务短暂中断,请您提前续费确保服务可用。相关内容,请参见续费说明

重要 NAT防火墙2.0目前处于技术验证期,如果您已经开启NAT防火墙2.0,使用过程中可能会存在单点故障风险,例如,您的业务流量可能会受到影响,甚至出现中断的情况。此时,您可以暂时关闭NAT防火墙尝试恢复故障引起的突发情况。同时,您也可以使用钉钉加入阿里云云防火墙问题答疑群聊(群号:33081734)进行反馈。

使用限制

  • NAT防火墙1.0,不支持用户新增DNAT策略条目。用户开启NAT防火墙1.0后,开启新增的DNAT策略条目将无法生效。
  • 在用户创建NAT防火墙1.0期间,请勿操作该NAT所在的VPC内任何路由条目,否则可能会造成开启NAT防火墙后流量不通。
  • 创建NAT防火墙1.0所需要时间与NAT上绑定EIP数目成正比。每个增加一个EIP,创建NAT防火墙1.0时间会增加2分钟。
  • 开启NAT防火墙1.0,新增的EIP和SNAT策略条目同步到NAT防火墙1.0时间为30分钟,NAT防火墙1.0同步完成前新增加的EIP和SNAT策略条目将不会在NAT上生效。
  • NAT防火墙1.0存在防护带宽限制,同一目的IP端口二元组的所有网络连接防护带宽上限为20 Mbps,超出带宽上限后可能会存在明显的网络延迟。

前提条件

  • 已开通企业版或旗舰版云防火墙服务。
    说明 云防火墙企业版默认支持配置2个NAT防火墙实例,旗舰版默认支持配置3个NAT防火墙实例。如果您需要配置更多NAT防火墙实例,请联系商务经理。
  • 创建NAT防火墙1.0(原安全正向代理)前,需要拥有满足以下条件的NAT网关:
    • 华东2(上海)、西南1(成都)或中国香港地域的NAT网关,或者华北2(北京)、华东1(杭州)或华南1(深圳)地域的NAT网关且已联系商务经理申请。
    • 已为NAT网关配置了SNAT条目。相关内容,请参见创建和管理SNAT条目
      说明 NAT防火墙1.0只支持SNAT策略条目,不支持DNAT策略条目。
    • NAT网关所在的VPC支持VPC高级功能。相关内容,请参见VPC高级功能
    说明 每个NAT网关默认最多绑定5个EIP(Elastic IP Address)和1,000条SNAT条目,用户开启NAT防火墙1.0后,若超过此规格,会有新增加的EIP和SNAT策略条目将不会在NAT上生效的风险。如果您需要NAT网关绑定更多EIP,可以使用钉钉加入阿里云云防火墙问题答疑群聊(群号:33081734)进行反馈。

创建NAT防火墙

创建NAT防火墙时,NAT防火墙1.0会做NAT路由切换,导致20秒左右业务闪断,请在业务低峰期进行操作。

  1. 登录云防火墙控制台。在左侧导航栏,单击防火墙开关
  2. NAT防火墙页面,定位到目标NAT防火墙,然后单击操作列的创建
  3. 创建NAT防火墙1.0面板,配置NAT防火墙。
    配置项 说明
    名称 自定义NAT防火墙的名称。
    交换机 该NAT防火墙所在的交换机(vSwitch)。有以下两种模式可以选择:
    • 自选模式:云防火墙自动创建交换机并绑定自定义路由表。
    • 手动模式:单击前往VPC控制台手动创建交换机,您可以自主创建交换机并绑定自定义路由表,然后选择该交换机来创建NAT防火墙。
      关于如何手动创建交换机和绑定交换机,请参见创建和管理交换机
      重要
      • 创建交换机时,需要选择专有网络为NAT防火墙1.0所在的VPC,可用区为NAT网关所在的可用区,确保IPv4网段的可用IP数大于NAT网关的SNAT EIP数。
      • 路由表不允许添加自定义路由条目,交换机不允许接入ECS、RDS、SLB等云资源。
    启用状态 开启NAT防火墙开关。
  4. 单击确定,完成NAT防火墙的创建。
    创建并开启NAT防火墙后,流量会经过NAT防火墙转发。

    您还可以在NAT防火墙页面,对已创建的NAT防火墙进行修改和删除、下载已创建的NAT防火墙数据列表。

相关操作

  • 查看哪些NAT网关有主动外联的记录

    NAT防火墙页签,单击NAT防火墙操作列的更多图标,再单击流量分析跳转到主动外联页面,您可以在主动外联页面查看NAT网关进行主动外联的情况。相关内容,请参见主动外联

  • 查看NAT网关的公网IP访问情况

    公网暴露页面的暴露明细 > 开放公网IP页签,您可以查看到NAT网关的访问情况。相关内容,请参见公网暴露

  • 查看NAT网关的流量日志

    NAT防火墙页签,单击NAT防火墙操作列的更多图标,再单击日志审计跳转到日志审计页面,在日志审计页面,您可以搜索并查看NAT网关所有相关流量的日志记录。

  • 创建访问控制策略

    NAT防火墙页签,单击NAT防火墙操作列的更多图标,再单击访问控制跳转到访问控制页面,您可以在访问控制页面创建访问控制策略。