本文介绍如何配置基础版转发路由器的VPC边界防火墙。

应用场景

支持防护:
  • 同地域多个专有网络VPC(Virtual Private Cloud)互访的流量
  • 通过基础版转发路由器TR(Transit Router)实现跨地域多个VPC互访的流量
  • VPC和边界路由器VBR(Virtual Border Router)互访的流量(即VPC和本地数据中心IDC互访的流量)
  • VPC和云连接网CCN(Cloud Connect Network)互访的流量
不支持防护:
  • 多个VBR互访的流量
  • CCN和VBR互访的流量
  • 多个CCN互访的流量

使用限制

限制项说明处理建议
VPC的限制开启VPC边界防火墙时,需确保创建的VPC总数量不超过配额。创建的VPC中,包含开启VPC边界防火墙时自动新增的VPC(即新增一个实例名称为Cloud_Firewall_VPC的VPC)。VPC配额不足的情况下,您将无法开启VPC边界防火墙。关于VPC的数量限制,请参见限制与配额

例如,同一地域内支持创建的VPC的数量默认为10个,由于开启VPC边界防火墙后会自动创建一个VPC,此时您最多可以再创建9个VPC。

如果配额已满,您需要修改VPC配额的上限。具体操作,请参见管理VPC配额

开启VPC边界防火墙时,需确保基础版转发路由器在每个地域支持添加的网络实例(包含VPC、VBR和CCN)数量不能超过配额。基础版转发路由器支持添加的VPC中,包含开启VPC边界防火墙时自动新增的VPC(即新增一个实例名称为Cloud_Firewall_VPC的VPC)。关于基础版转发路由器支持创建的网络实例数量,请参见使用限制

例如,每个基础版转发路由器支持连接的网络实例默认为10个,由于开启VPC边界防火墙后会自动创建一个VPC,此时您最多可以创建9个VPC。

建议您使用企业版转发路由器TR(Transit Router)。更多问题,请加入钉群(群号:33081734),联系产品技术专家进行咨询。

同一地域内,一个云企业网防护的VPC数量最多为31个。

路由限制为云企业网创建VPC边界防火墙时,该云企业网中不能存在策略行为设置为拒绝类型的路由策略(系统默认生产的优先级为5,000拒绝类型路由策略除外),否则将会导致业务中断。建议您删除相关路由策略,请加入钉群(群号:33081734),联系产品技术专家进行咨询。
开启VPC边界防火墙后,云防火墙会自动为VPC添加自定义路由条目。VPC实例自定义路由条目的默认值为200条,如果VPC路由表中的自定义路由条目达到上限,您将无法开启VPC边界防火墙。增加VPC的配额。

您需要修改当前账号下VPC路由表的自定义路由配额,具体操作,请参见管理配额

开启VPC边界防火墙时,需确保云企业网的路由条目不超过配额。云企业网的路由条目数量中,包含开启VPC边界防火墙时自动新增的路由条目。关于云企业网中支持发布的路由条目数量,请参见使用限制建议您将发布的路由条目数控制在100条内。如有需要,请加入钉群(群号:33081734),联系产品技术专家进行咨询。
在云企业网中开启VPC边界防火墙时,如果VPC中存在自定义路由表且绑定了交换机,不支持开通VPC边界防火墙。您可以删除相关的自定义路由表或交换机解除绑定自定义路由表。
其他限制如果您是在2021年05月01日之前开通了VPC边界防火墙,并且您在私网中使用公网网段,开启VPC边界防火墙后,您的服务器对SLB和RDS的访问将会中断。
说明 2021年05月01日及之后开通VPC边界防火墙的用户无此限制。
建议按标准规划您的网络,避免出现私网中使用公网网段的情况。
SLB和RDS等云服务在开启或关闭VPC边界防火墙过程中,会出现已建立连接的长连接失效问题。
  • 在开启或关闭VPC边界防火墙的过程前,暂时设置SLB的健康检查为本VPC后端,避免健康检查抖动,开启或关闭后就可以恢复该设置。
  • 在客户端增加连接保活以及重连机制。

前提条件

创建VPC边界防火墙

  1. 登录云防火墙控制台在左侧导航栏,单击防火墙开关
  2. 防火墙开关页面,单击VPC边界防火墙
  3. VPC边界防火墙页签,单击云企业网(基础版)
  4. 定位到目标VPC边界防火墙的云企业网的网络实例,单击操作列下的创建
    云防火墙可以对通过企业版转发路由器(即VPC边界防火墙页面的企业版)连接的VPC间流量进行管控。
  5. 创建VPC边界防火墙面板,根据配置向导,完成VPC边界防火墙配置。
    基础版转发路由器支持诊断是否满足一键开启VPC边界防火墙的条件。您可以在检测完成后,在诊断记录面板查看诊断结果。如果您已了解VPC边界防火墙的创建细则,可以直接跳过一键开启诊断功能,直接创建。

    以下表格介绍了云企业网连通模式下,VPC边界防火墙的配置。

    配置项说明
    名称定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您根据业务的实际情况输入具有意义的名称,并保证名称的唯一性。
    引流配置开启引流开关,配置防护的网段。
    入侵防御选择入侵防御模块(IPS)的工作模式、入侵防御策略。
    • IPS防御模式
      • 观察模式:开启观察模式后,对恶意流量进行监控并告警。
      • 拦截模式:开启拦截模式后,对恶意流量进行拦截,阻断入侵活动。
    • IPS防御能力
      • 基础规则:开启基础规则后,为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。
      • 虚拟补丁:开启虚拟补丁后,实时防御热门的高危应用漏洞。
    说明 此设置将应用于同一云企业网下的所有网络实例。
  6. 单击开始创建,创建VPC边界防火墙。
  7. 云企业网(基础版)页签,开启已创建的VPC边界防火墙开关。
    说明 开启VPC边界防火墙后,如果增加或者删除VPC路由表信息,云防火墙需要15~30分钟的时间完成路由学习。建议您等待云防火墙路由学习完成后观察路由表生效情况,或加入钉群(群号:33081734),联系产品技术专家进行咨询。
    VPC边界防火墙创建完成后,云防火墙会在专有网络VPC中自动为您创建以下资源:
    • VPC资源:名称为Cloud_Firewall_VPC
      重要 请勿将其他业务资源加入到Cloud_Firewall_VPC,否则会导致删除VPC边界防火墙时,您添加的其他业务资源无法删除。请勿手动修改和删除此VPC内的网络资源。
    • 交换机资源:名称为Cloud_Firewall_VSWITCH
    • 自定义路由表条目:备注信息为Created by cloud firewall. Do not modify or delete it.
    开启VPC边界防火墙后,云服务器ECS(Elastic Compute Service)会自动添加名称为Cloud_Firewall_Security_Group的安全组,并且为该安全组自动配置了放行策略(即授权策略),用于放行VPC边界防火墙到ECS的入方向流量。
    重要 Cloud_Firewall_Security_Group的安全组和放行策略不可以删除,否则会导致VPC边界防火墙到ECS的入方向流量无法受到VPC边界防火墙的防护。

    如果需要批量操作或频繁开关VPC边界防火墙,为不影响您的业务,建议在业务流量较小的低峰期进行。

    警告
    • 关闭或者删除VPC边界防火墙,在关闭过程中可能会导致流量闪断。
    • 创建VPC边界防火墙后,变更所创建的云防火墙VPC中的交换机及路由表,可能会导致流量中断。
    • 云企业网中存在单个VBR时,创建VPC边界防火墙或者网络割接时可能会造成流量中断。

开启或关闭VPC边界防火墙

只有开启VPC边界防火墙,云防火墙才能够防护您的网络资源。
  1. 防火墙开关页面,单击VPC边界防火墙
  2. 云企业网(基础版)页签,定位到目标VPC边界防火墙的云企业网的网络实例,开启或关闭其防火墙开关
    开启或关闭VPC边界防火墙开关后,请耐心等待。当VPC边界防火墙的防火墙状态变更为已开启,则表示成功开启VPC边界防火墙。当VPC边界防火墙的防火墙状态变更为未开启,则表示成功关闭VPC边界防火墙。

编辑或删除VPC边界防火墙

如果您需要修改VPC边界防火墙的配置,或者业务已不需要该VPC边界防火墙,可以在VPC边界防火墙云企业网(基础版)页签,定位到目标VPC边界防火墙的云企业网的网络实例,单击右侧操作列的编辑删除

后续步骤

  • 开启VPC边界防火墙后,您可以设置VPC边界防火墙策略,控制VPC之间的访问活动。具体操作,请参见VPC边界防火墙访问策略
  • 开启VPC边界防火墙后,您可以通过VPC互访功能,查看VPC之间的相互访问流量。具体操作,请参见VPC互访
  • 开启VPC边界防火墙后,您可以通过VPC防护功能,查看云防火墙拦截到的VPC之间的异常事件信息。具体操作,请参见VPC防护