通过云防火墙防护VPC边界流量

场景示例

如上图所示，假设您在华东1（杭州）地域创建了2个专有网络VPC，名称分别为VPC1和VPC2，2个VPC通过转发路由器实现网络互通。为管控和过滤2个VPC之间互访的流量，您可以在转发路由器TR上创建云防火墙并配置引流策略，实现VPC1和VPC2之间互访流量的安全防护。

创建云防火墙时，有自动引流和手动引流2种模式：

• 自动引流模式下，您可以结合自身业务情况创建网络实例级别引流场景，VPC边界防火墙会根据引流场景自动在企业版转发路由器上配置路由，并自动创建VPC边界防火墙弹性网卡完成流量牵引。

• 手动引流模式下，您需要结合自身业务手动在企业版转发路由器上创建VPC边界防火墙弹性网卡并配置路由，将流量牵引至VPC边界防火墙弹性网卡。

2种模式对业务的影响如下：

• 自动引流模式下，开启和关闭VPC边界防火墙，预计约需要5~30分钟（取决于路由条目数），对业务无影响。

• 手动引流模式下，开启和关闭VPC边界防火墙，业务影响时间不定，取决于切流方式。

本文以自动引流方式为例进行说明，如果您要使用手动引流模式，请参考云防火墙产品文档：操作步骤。

使用限制

• 开启VPC边界防火墙时，需要新增一个命名为Cloud_Firewall_VPC的VPC实例，请确保您账号下有足够的可创建的VPC数。关于VPC的数量限制，请参见限制与配额。

• 自动引流模式不支持以下场景：

  • 企业版转发路由器的路由表内存在静态路由（100.64.0.0/10网段及其子网段的静态路由除外）

  • VPC实例、VBR实例、TR实例同时存在多个引流场景

  • 将基础版转发路由器添加到引流模式

  • 有路由冲突的转发路由器

  • VPC的前缀列表功能

• VPC边界防火墙不支持防护VPN网关（如IPsec-VPN、SSL VPN）直接连接到VPC内的场景；但支持防护IPsec-VPN绑定到转发路由器的场景，更多内容，请参见IPsec-VPN应用场景（绑定转发路由器）。

• VPC边界防火墙不支持防护IPv6流量。

• 确保您网络资源所在的地域都是VPC边界防火墙支持的地域，否则会导致无法开启VPC边界防火墙。具体信息，请参见支持的地域。

准备工作

• 您已根据示例创建了VPC资源，资源规划如下：

  配置项	VPC1	VPC2
  地域	华东1（杭州）	华东1（杭州）
  网段	10.0.0.0/16	172.16.0.0/16
  交换机1	位于可用区J 网段为10.0.0.0/24	位于可用区J 网段为172.16.0.0/24
  交换机2	位于可用区K 网段为10.0.1.0/24	位于可用区K 172.16.1.0/24

• 您已经根据同地域VPC互通教程连通了2个VPC。

• 您已购买云防火墙服务，并已经授权云防火墙访问云资源。

开始配置

第一步：创建前检查

1. 登录云企业网管理控制台。
2. 在云企业网实例页面，找到目标云企业网实例，单击目标实例ID。

3. 在基本信息 > 转发路由器页签，找到目标地域的转发路由器实例，在安全防护列下，将鼠标移动到安全防护图标，在冒出的气泡提示中，单击开启云防火墙。

   

4. 在弹出的创建VPC防火墙界面中，选择自动引流模式，并单击一键开启检查。

   

5. 如果检查不通过：

   1. 提示“VPC防火墙资产同步未完成”。

      1. 登录云防火墙控制台，在左侧导航栏，单击防火墙开关。。

      2. 在防火墙开关页面，单击VPC边界防火墙。

      3. 在VPC边界防火墙页签，单击云企业网（企业版）。

      4. 如果在资产列表中没有需要开启保护的资产，您可以单击同步资产，同步当前阿里云账号及其成员账号的资产信息。

         

         重要

         资产同步时间约5-10分钟，请耐心等待。

   2. 提示“转发路由器路由表中存在前缀列表、黑洞路由、静态路由、路由冲突”

      • 如果路由条目不是必要，且评估确认删除后对业务无影响，请删除对应的路由条目，详情见删除企业版转发路由器自定义路由条目。

        警告

        删除路由条目可能会影响您的业务，请谨慎操作。

      • 如果路由条目必须保留，请参考使用手动引流模式，详情见云防火墙产品文档：操作步骤。

   3. 其他提示，请参考提示信息进行处理。

6. 如果检查通过，请单击下一步，进入创建防火墙实例页面。

第二步：创建防火墙实例

1. 在创建防火墙实例页面中，配置项填写如下：

   • 防火墙名称：cfw1

   • 防火墙所使用VPC网段：192.168.0.0/27

   • 其他配置项保持默认。

   单击查看各个配置项的说明。

   配置项	说明
   防火墙基本信息	防火墙名称：定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例，建议您根据业务的实际情况输入具有意义的名称，并保证名称的唯一性。
   防火墙VPC的配置	为云防火墙分配VPC网段，为保持云防火墙正常工作，请分配一个至少27位的且不与网络规划冲突的网段。 说明 如果您的业务延时敏感，您可以自定义防火墙交换机可用区和业务VPC交换机可用区相同，以便降低延时。如果不配置，云防火墙会自动为您分配可用区。
   入侵防御	选择入侵防御模块（IPS）的工作模式、入侵防御策略。 IPS防御模式 观察模式：开启观察模式后，对恶意流量进行监控并告警。 拦截模式：开启拦截模式后，对恶意流量进行拦截，阻断入侵活动。 IPS防御能力 基础规则：开启基础规则后，为您的资产提供基础的防护能力，包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C（命令控制）的行为进行管控。 虚拟补丁：开启虚拟补丁后，实时防御热门的高危应用漏洞。 说明 此设置将应用于同一云企业网下的所有网络实例。

2. 单击开始创建，出现如图所示界面。请您耐心等待，预计需要十几分钟：

   

   说明

   在本步中，系统会自动在后台新建1个云防火墙VPC，并在此VPC中创建云防火墙实例。该VPC只用于承载云防火墙，用户无法进行配置或编辑，且在VPC控制台不可见。

3. 创建完成，单击下一步，进入引流配置页面。

   

第三步：开启引流

1. 在引流配置页面，填写如下配置项，最后单击确定：

   1. 模板名称：模板1

   2. 请选择场景类型：选择点到点

   3. 请选择引流对象：

      1. 第一行：引流实例类型选择VPC，引流实例ID选择VPC1

      2. 第二行：引流实例类型选择VPC，引流实例ID选择VPC2

   

   单击查看各个配置项的说明

   配置项	说明
   基础信息	模板名称：设置引流模板的名称。
   场景类型	选择使用VPC边界防火墙管控和防护的场景类型。 点到点：两个网元之间流量经过云防火墙管控。适用于简单的网络拓扑环境。 点到多点：一个网元与多个网元之间的流量经过云防火墙管控。适用于星形网络拓扑环境；支持子引流实例选择ALL，一键实现到主引流实例的所有流量经过云防火墙管控（等同于基础版转发路由器VPC边界防火墙的引流场景）。 重要 若转发路由器路由表存在自定义的拒绝路由策略，则不支持点到多点的引流场景，建议改成多点间互联的引流场景。 多点间互联：多个网元之间的流量经过云防火墙管控。适用于Full Mesh网状网络拓扑环境。 说明 网元即通过企业版转发路由器连接的网络实例，包含专有网络VPC实例、边界路由器VBR实例、转发路由器TR实例。
   引流对象	配置引流实例类型及引流实例ID。

2. 创建引流过程时间较长，预计在30分钟内完成引流配置。完成后，即可实现对VPC1和VPC2之间互访流量的防护。

3. 引流场景配置完成后，系统会自动创建如下资源：

   1. 在转发路由器中创建1个云防火墙VPC连接（名称为Cloud_Firewall_Attachment），用于转发路由器连通云防火墙。

      

   2. 在转发路由器中新建3张路由表，详情如下。

      路由表名称	说明	关联转发	路由学习
      Cloud_Firewall_ROUTE_TABLE	云防火墙VPC的流量进入到转发路由器后，查询本路由表。	绑定云防火墙VPC连接（Cloud_Firewall_Attachment）	VPC1和VPC2
      请勿编辑_Please_Do_Not_Edit_Cloud_Firewall_Route_Table	VPC1的流量进入到转发路由器后，查询本路由表。 路由表中存在8条路由条目，其中4条来自于转发路由器自动学习。另外4条为系统自动添加的静态路由，比自动学习的路由条目网段更加明细，目的为把来自VPC1的流量牵引至云防火墙VPC。	绑定VPC1连接	VPC1和VPC2
      请勿编辑_Please_Do_Not_Edit_Cloud_Firewall_Route_Table	VPC2的流量进入到转发路由器后，查询本路由表。 路由表中存在8条路由条目，其中4条来自于转发路由器自动学习。另外4条为系统自动添加的静态路由，比自动学习的路由条目网段更加明细，目的为把来自VPC2的流量牵引至云防火墙VPC。	绑定VPC2连接	VPC1和VPC2

      警告

      请不要手动修改转发路由器中自动创建的路由表和其中的路由条目，否则可能会导致流量中断影响业务。

常见问题

如何修改引流场景？

1. 在云企业网实例详情页面，找到目标转发路由器，然后单击安全防护图标，进入云防火墙控制台。

2. 接下来的步骤需要在云防火墙控制台操作，请参见更改自动引流模式的配置。

如何编辑或删除VPC边界防火墙？

1. 在云企业网实例详情页面，找到目标转发路由器，然后单击安全防护图标，进入云防火墙控制台。

   

2. 接下来的步骤需要在云防火墙控制台操作，请参见编辑或删除VPC边界防火墙。

云防火墙如何计费？

费用由云防火墙产品收取，详情见云防火墙计费概述。