本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
如果您的网络实例(VPC、VBR、CCN)通过云企业网的基础版转发路由器连接,可以通过VPC边界防火墙防护网络实例之间的流量,提高业务资产的安全性。本文介绍如何配置基础版转发路由器的VPC边界防火墙。
功能介绍
防护原理
开启VPC边界防火墙后,云防火墙会基于DPI流量分析、IPS入侵防御规则、威胁情报、虚拟补丁、访问控制策略等,对VPC互访的流量进行过滤,判断流量是否满足放行条件,有效拦截非法的访问流量,保障私网资产之间的流量安全。
基础版转发路由器VPC边界防火墙的防护场景示例如下图所示:
关于防护范围,请参见什么是云防火墙。
对业务的影响
创建VPC边界防火墙时,您无需更改当前的网络拓扑,可以一键创建VPC边界防火墙并设置引流模式(自动引流或者手动引流),实现对业务资产的保护,对业务无影响。创建时长约5分钟。建议您在业务低峰期开启VPC边界防火墙。
开启和关闭VPC边界防火墙,预计约需要5~30分钟(取决于路由条目数),过程中会出现长连接秒级闪断,短连接无影响。
建议在开启VPC边界防火墙之前检查您的应用程序是否支持TCP自动重传机制,并密切关注应用连接状态,以避免由于未配置重传机制而导致的连接中断。
使用限制
限制项 | 说明 | 处理建议 |
VPC的限制 | 开启VPC边界防火墙时,需要新增一个命名为Cloud_Firewall_VPC的VPC实例,请确保您账号下有足够的可创建的VPC数。关于VPC的数量限制,请参见限制与配额。 例如,同一地域内支持创建的VPC的数量默认为10个,由于开启VPC边界防火墙后会自动创建一个VPC,此时您最多可以再创建9个VPC。 | 如果配额已满,您需要修改VPC配额的上限。具体操作,请参见管理VPC配额。 |
确保基础版转发路由器在每个地域支持添加的网络实例(包含VPC、VBR和CCN)数量不能超过配额。基础版转发路由器支持添加的VPC中,包含开启VPC边界防火墙时自动新增的VPC(即新增一个实例名称为Cloud_Firewall_VPC的VPC)。关于基础版转发路由器支持创建的网络实例数量,请参见使用限制。 例如,每个基础版转发路由器支持连接的网络实例默认为10个,由于开启VPC边界防火墙后会自动创建一个VPC,此时您最多可以创建9个VPC。 | 建议您使用企业版转发路由器TR(Transit Router)。更多问题,请加入钉群(群号:33081734),联系产品技术专家进行咨询。 | |
同一地域内,一个云企业网防护的VPC数量最多为31个。 | 无 | |
路由限制 | 云企业网中不能存在策略行为设置为拒绝类型的路由策略(云企业网默认生成的一个优先级为5000的拒绝动作的路由策略除外),否则将会导致业务中断。 | 建议您删除相关路由策略,请加入钉群(群号:33081734),联系产品技术专家进行咨询。 |
开启VPC边界防火墙后,云防火墙会自动为VPC添加自定义路由条目。单个VPC路由表最多支持创建的200条自定义路由条目,如果VPC路由表中的自定义路由条目达到上限,您将无法开启VPC边界防火墙。 | 增加VPC的配额。 您需要修改当前账号下VPC路由表的自定义路由配额,具体操作,请参见管理配额。 | |
确保云企业网的路由条目不超过配额。云企业网的路由条目数量中,包含开启VPC边界防火墙时自动新增的路由条目。关于云企业网中支持发布的路由条目数量,请参见使用限制。 | 建议您将发布的路由条目数控制在100条内。如有需要,请加入钉群(群号:33081734),联系产品技术专家进行咨询。 | |
如果VPC中存在自定义路由表且绑定了交换机,不支持开通VPC边界防火墙。 | 您可以删除相关的自定义路由表或交换机解除绑定自定义路由表。 | |
流量类型限制 | VPC边界防火墙不支持防护IPv6流量。 | 无 |
其他限制 | 如果您的VPC边界防火墙是在2021年05月01日之前开通,并且VPC边界防火墙存在公网私用(即将10.0.0.0/8、 172.16.0.0/12、192.168.0.0/16之外的公网网段作为私网网段)或者32位IP网段(即XX.XX.XX.XX/32)双向引流,您的业务可能会存在一些影响:
说明 2021年05月01日及之后开通VPC边界防火墙的用户无此限制。 | 建议按标准规划您的网络,避免云企业网中出现公网私用以及32位网段引流的情况。 如果您业务存在特殊需求,可以加入钉群(群号:33081734),联系云防火墙售后加白处理。 |
在开启或关闭VPC边界防火墙过程中,部分云服务(例如SLB、RDS)会出现已建立连接的长连接失效问题。 |
|
创建并开启VPC边界防火墙
前提条件
已开通企业版、旗舰版云防火墙。具体操作,请参见购买云防火墙服务。
只有云防火墙企业版和旗舰版支持配置基础版转发路由器的VPC边界防火墙。
已授权云防火墙访问云资源。具体操作,请参见授权云防火墙访问云资源。
已购买了云企业网实例,且已使用云企业网完成了VPC之间的网络互通。具体操作,请参见使用云企业网实现同地域VPC互通(基础版)、使用云企业网实现跨地域跨账号VPC互通(基础版)。
说明在云企业网中存在跨账号开通的VPC时,如果跨账号开通的VPC未获得云防火墙的授权或您的云防火墙版本不是旗舰版,您将无法创建VPC边界防火墙。建议您使用对应账号登录云防火墙完成授权后或者升级到云防火墙旗舰版,再开启VPC边界防火墙。具体操作,请参见授权云防火墙访问云资源、升级和降配。
确保您网络资源所在的地域都是VPC边界防火墙支持的地域。具体信息,请参见支持的地域。
操作步骤
创建VPC边界防火墙后,变更所创建的云防火墙VPC中的交换机及路由表,可能会导致流量中断。
如果云企业网中存在单个VBR时,创建VPC边界防火墙或者进行网络割接时可能会造成流量中断。
登录云防火墙控制台,在左侧导航栏,单击防火墙开关
在防火墙开关页面,单击VPC边界防火墙。
在VPC边界防火墙页签,单击云企业网(基础版)。
定位到目标VPC边界防火墙的云企业网的网络实例,单击操作列下的创建。
如果在资产列表中没有需要开启保护的资产,您可以单击同步资产,同步当前阿里云账号及其成员账号的资产信息。
在创建防火墙面板,根据配置向导,完成VPC边界防火墙配置。
基础版转发路由器支持诊断是否满足一键开启VPC边界防火墙的条件。您可以在检测完成后,在诊断记录面板查看诊断结果。如果您已了解VPC边界防火墙的创建细则,可以直接跳过一键开启诊断功能,直接创建。
以下表格介绍了云企业网连通模式下,VPC边界防火墙的配置。
配置项
说明
基本信息
名称:定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您根据业务的实际情况输入具有意义的名称,并保证名称的唯一性。
防火墙VPC的配置
为自动创建的云防火墙VPC和交换机分配网段,用于自动创建防火墙安全VPC(Cloud_Firewall_VPC)进行流量引流处理。从分配的VPC网段中划分1个子网网段,该子网网段用于云防火墙VPC的交换机。子网网段的掩码需小于等于29位,且不与网络规划的网段冲突。
重要请基于业务配置,VPC边界防火墙创建完成后无法更改,如需更改需删除后重新创建。
防火墙所使用VPC:默认值为10.0.0.0/8,您可以自定义防火墙VPC的网段。支持设置的网段包含:10.0.0.0/8、172.16.0.0/12、192.168.0.0/16及其子网。
交换机网段:默认值为10.219.219.216/29。如果默认值与您的业务网络规划冲突,您可以自定义该网段。
交换机可用区:云防火墙支持默认分配交换机可用区,您也可以自行设置。如果您的业务延时敏感,您可以自定义防火墙交换机可用区和业务VPC交换机可用区相同,以便降低延时。
请分配业务VPC所需要的交换机
需要配置引流保护的业务VPC交换机,用于云防火墙引流所需要的弹性网卡使用。云防火墙会自动分配,如果您的业务延时敏感,可以自定义业务VPC可用区,以降低网络延时。
重要基于业务配置,创建完成后无法更改,如需更改需删除后重新创建。
可用区:选择业务VPC交换机的可用区。
交换机实例:选择业务VPC的交换机实例。
引流配置
开启或关闭引流开关,查看防护的网段。
入侵防御
选择入侵防御模块(IPS)的工作模式、入侵防御策略。
IPS防御模式
观察模式:开启观察模式后,对恶意流量进行监控并告警。
拦截模式:开启拦截模式后,对恶意流量进行拦截,阻断入侵活动。
IPS防御能力
基础规则:开启基础规则后,为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。
虚拟补丁:开启虚拟补丁后,实时防御热门的高危应用漏洞。
说明此设置将应用于同一云企业网下的所有网络实例。
单击开始创建,创建VPC边界防火墙。
在云企业网(基础版)页签,开启已创建的VPC边界防火墙开关。
只有开启VPC边界防火墙,云防火墙才能够防护您的网络资源。当VPC边界防火墙的防火墙状态变更为已开启,则表示成功开启VPC边界防火墙。
说明开启VPC边界防火墙后,如果增加或者删除VPC路由表信息,云防火墙需要15~30分钟的时间完成路由学习。建议您等待云防火墙路由学习完成后观察路由表生效情况,或加入钉群(群号:33081734),联系产品技术专家进行咨询。
VPC边界防火墙创建完成后,云防火墙会在专有网络VPC中自动为您创建以下资源:
VPC资源:名称为
Cloud_Firewall_VPC。重要请勿将其他业务资源加入到Cloud_Firewall_VPC,否则会导致删除VPC边界防火墙时,您添加的其他业务资源无法删除。请勿手动修改和删除此VPC内的网络资源。
交换机资源:名称为
Cloud_Firewall_VSWITCH。自定义路由表条目:备注信息为
Created by cloud firewall. Do not modify or delete it.。
开启VPC边界防火墙后,会自动为Cloud_Firewall_VPC和业务VPC添加名称为Cloud_Firewall_Security_Group的安全组,并且为该安全组自动配置了放行策略(即授权策略),用于放行到VPC边界防火墙的流量。
重要Cloud_Firewall_Security_Group的安全组和放行策略不可以删除,否则会导致业务流量中断。
如果需要批量操作或频繁开关VPC边界防火墙,为不影响您的业务,建议在业务流量较小的低峰期进行。
后续操作
开启VPC边界防火墙后,您可以设置VPC边界防火墙策略,控制VPC之间的访问活动。具体操作,请参见VPC边界防火墙访问策略。
开启VPC边界防火墙后,您可以通过VPC互访功能,查看VPC之间的相互访问流量。具体操作,请参见VPC互访。
开启VPC边界防火墙后,您可以通过VPC防护功能,查看云防火墙拦截的VPC之间的异常事件信息。具体操作,请参见VPC防护。
更多操作
编辑VPC边界防火墙
如果您需要修改VPC边界防火墙的配置,可以在VPC边界防火墙的云企业网(基础版)页签,定位到目标VPC边界防火墙的云企业网的网络实例,单击右侧操作列的编辑进行修改。
关闭VPC边界防火墙
关闭VPC边界防火墙时,在关闭过程中可能会导致流量闪断。
在防火墙开关页面,单击VPC边界防火墙。
在云企业网(基础版)页签,定位到目标VPC边界防火墙的云企业网的网络实例,关闭防火墙开关。
关闭VPC边界防火墙开关后,请耐心等待。当VPC边界防火墙的防火墙状态变更为未开启,则表示成功关闭VPC边界防火墙。
删除VPC边界防火墙
删除VPC边界防火墙时,在删除过程中可能会导致流量闪断。
如果您业务已不需要该VPC边界防火墙,可以在VPC边界防火墙的云企业网(基础版)页签,定位到目标VPC边界防火墙的云企业网的网络实例,单击右侧操作列的删除。
修改IPS配置
如果您需要修改IPS防御模式、IPS防御能力,或者需要对某些目的IP或者源IP直接放行(即IPS白名单)、修改IPS规则等,可以在已创建的云防火墙实例的操作列,单击配置IPS,在IPS配置页面的VPC边界页签进行配置。具体信息,请参见IPS配置。