云防火墙提供安全正向代理,对NAT网关出公网的流量进行防护。NAT网关访问互联网的流量会先经过云防火墙安全正向代理,实现对内网IP访问互联网的流量进行访问控制和防护。

前提条件

已创建了NAT实例并配置了SNAT。相关内容,请参见创建公网NAT网关SNAT条目实现访问公网服务

创建安全正向代理的NAT网关所在的VPC需要支持VPC高级功能。相关内容,请参见VPC高级功能

背景信息

安全正向代理是一种虚拟化的防火墙,创建并开启安全正向代理后,经过NAT网关的互联网流量会自动切换到云防火墙安全正向代理。
说明 如果您已创建了DNAT,暂不支持使用安全正向代理。

版本和地域支持说明

安全正向代理支持的云防火墙版本为企业版、旗舰版。

目前支持为华东2(上海)、西南1(成都)和中国香港地域的VPC内的NAT网关创建安全正向代理,华北2(北京)、华东1(杭州)和华南1(深圳)地域提交工单申请后可以创建安全正向代理,其他地域暂不支持创建安全正向代理。

操作步骤

创建安全正向代理时,由于NAT路由切换,会出现20秒左右业务闪断,请在业务低峰期进行操作。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择防火墙开关 > 安全正向代理
  3. 安全正向代理页面,单击创建安全正向代理
  4. 创建安全正向代理对话框中,完成参数配置。
    配置项 说明
    名称 自定义正向代理规则的名称。可输入中文、英文、任意特殊字符。
    Region

    目前支持为华东2(上海)、西南1(成都)和中国香港地域的VPC内的NAT网关创建安全正向代理,华北2(北京)、华东1(杭州)和华南1(深圳)地域提交工单申请后可以创建安全正向代理,其他地域暂不支持创建安全正向代理。

    VPC 需要防护的NAT网关所在的VPC。
    VPC网段 需要防护的NAT网关所在的VPC网段。
    NAT网关 NAT网关访问公网的路由。选择路由后,原有的路由会被关闭,流量会经过安全正向代理转发。
    创建正向代理后,安全正向代理防火墙默认开启。此时,流量会经由安全正向代理转发。

    您还可以在安全正向代理页面,对已创建的正向代理进行修改和删除、下载已创建的正向代理数据列表。

    说明 云防火墙服务到期后,如果您未及时续费,您所创建的正向代理将会自动释放,同时流量路由会切换至您原始的由内网访问公网的路由。此时,可能会造成业务短暂中断,请您提前续费确保服务可用。相关内容,请参见续费

相关操作

  • 查看哪些NAT EIP资产有主动外联的记录

    主动外联页面的外联明细 > 外联资产列表中,您可以查看NAT EIP和NAT Public IP资产进行主动外联活动的情况。相关内容,请参见主动外联活动

  • 查看NAT网关公网IP访问情况

    互联网访问活动页面的开放公网IP列表中,您可以查看到经过正向代理的NAT EIP访问情况。相关内容,请参见互联网访问活动

  • 查看NAT EIP资产的流量日志

    日志审计页面的流量日志列表中,您可以搜索并查看NAT EIP资产所有相关流量的日志记录。相关内容,请参见流量日志

  • 创建私有源IP内对外访问控制策略

    安全正向代理页面,单击目标安全正向代理操作列的配置访问控制策略,跳转到访问控制页面,您可以在访问控制页面对已创建安全正向代理的私网IP创建内对外访问控制策略。相关内容,请参见内对外流量访问控制