配置基础版转发路由器的VPC边界防火墙

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

如果您的网络实例(VPC、VBR、CCN)通过云企业网的基础版转发路由器连接,可以通过VPC边界防火墙防护网络实例之间的流量,提高业务资产的安全性。本文介绍如何配置基础版转发路由器的VPC边界防火墙。

功能介绍

防护原理

开启VPC边界防火墙后,云防火墙会基于DPI流量分析、IPS入侵防御规则、威胁情报、虚拟补丁、访问控制策略等,对VPC互访的流量进行过滤,判断流量是否满足放行条件,有效拦截非法的访问流量,保障私网资产之间的流量安全。

基础版转发路由器VPC边界防火墙的防护场景示例如下图所示:

image

关于防护范围,请参见什么是云防火墙

对业务的影响

创建VPC边界防火墙时,您无需更改当前的网络拓扑,可以一键创建VPC边界防火墙并设置引流模式(自动引流或者手动引流),实现对业务资产的保护,对业务无影响。创建时长约5分钟。建议您在业务低峰期开启VPC边界防火墙。

开启和关闭VPC边界防火墙,预计约需要5~30分钟(取决于路由条目数),过程中会出现长连接秒级闪断,短连接无影响。

说明

建议在开启VPC边界防火墙之前检查您的应用程序是否支持TCP自动重传机制,并密切关注应用连接状态,以避免由于未配置重传机制而导致的连接中断。

使用限制

限制项

说明

处理建议

VPC的限制

开启VPC边界防火墙时,需要新增一个命名为Cloud_Firewall_VPC的VPC实例,请确保您账号下有足够的可创建的VPC数。关于VPC的数量限制,请参见限制与配额

例如,同一地域内支持创建的VPC的数量默认为10个,由于开启VPC边界防火墙后会自动创建一个VPC,此时您最多可以再创建9个VPC。

如果配额已满,您需要修改VPC配额的上限。具体操作,请参见管理VPC配额

确保基础版转发路由器在每个地域支持添加的网络实例(包含VPC、VBR和CCN)数量不能超过配额。基础版转发路由器支持添加的VPC中,包含开启VPC边界防火墙时自动新增的VPC(即新增一个实例名称为Cloud_Firewall_VPC的VPC)。关于基础版转发路由器支持创建的网络实例数量,请参见使用限制

例如,每个基础版转发路由器支持连接的网络实例默认为10个,由于开启VPC边界防火墙后会自动创建一个VPC,此时您最多可以创建9个VPC。

建议您使用企业版转发路由器TR(Transit Router)。更多问题,请加入钉群(群号:33081734),联系产品技术专家进行咨询。

同一地域内,一个云企业网防护的VPC数量最多为31个。

路由限制

云企业网中不能存在策略行为设置为拒绝类型的路由策略(云企业网默认生成的一个优先级为5000的拒绝动作的路由策略除外),否则将会导致业务中断。

建议您删除相关路由策略,请加入钉群(群号:33081734),联系产品技术专家进行咨询。

开启VPC边界防火墙后,云防火墙会自动为VPC添加自定义路由条目。单个VPC路由表最多支持创建的200条自定义路由条目,如果VPC路由表中的自定义路由条目达到上限,您将无法开启VPC边界防火墙。

增加VPC的配额。

您需要修改当前账号下VPC路由表的自定义路由配额,具体操作,请参见管理配额

确保云企业网的路由条目不超过配额。云企业网的路由条目数量中,包含开启VPC边界防火墙时自动新增的路由条目。关于云企业网中支持发布的路由条目数量,请参见使用限制

建议您将发布的路由条目数控制在100条内。如有需要,请加入钉群(群号:33081734),联系产品技术专家进行咨询。

如果VPC中存在自定义路由表且绑定了交换机,不支持开通VPC边界防火墙。

您可以删除相关的自定义路由表或交换机解除绑定自定义路由表。

流量类型限制

VPC边界防火墙不支持防护IPv6流量。

其他限制

如果您的VPC边界防火墙是在2021年05月01日之前开通,并且VPC边界防火墙存在公网私用(即将10.0.0.0/8、 172.16.0.0/12、192.168.0.0/16之外的公网网段作为私网网段)或者32位IP网段(即XX.XX.XX.XX/32)双向引流,您的业务可能会存在一些影响:

  • 跨VPC访问资产,可能会出现单向流量过VPC边界防火墙,可能会造成流量日志数据缺失,并且可能会导致四层和七层应用ACL和IPS防护异常。

  • 跨VPC访问SLB或者RDS资产,由于SLB和RDS流量来回路径不一致可能会丢包,从而导致SLB和RDS业务无法访问。

说明

2021年05月01日及之后开通VPC边界防火墙的用户无此限制。

建议按标准规划您的网络,避免云企业网中出现公网私用以及32位网段引流的情况。

如果您业务存在特殊需求,可以加入钉群(群号:33081734),联系云防火墙售后加白处理。

在开启或关闭VPC边界防火墙过程中,部分云服务(例如SLB、RDS)会出现已建立连接的长连接失效问题。

  • 在开启或关闭VPC边界防火墙,暂时设置SLB的健康检查为本端VPC的后端服务器,避免健康检查抖动,开启或关闭后就可以恢复该设置。具体操作,请参见配置和管理CLB健康检查

  • 在客户端增加连接保护以及重连机制。

创建并开启VPC边界防火墙

前提条件

操作步骤

警告
  • 创建VPC边界防火墙后,变更所创建的云防火墙VPC中的交换机及路由表,可能会导致流量中断。

  • 如果云企业网中存在单个VBR时,创建VPC边界防火墙或者进行网络割接时可能会造成流量中断。

  1. 登录云防火墙控制台在左侧导航栏,单击防火墙开关

  2. 防火墙开关页面,单击VPC边界防火墙

  3. VPC边界防火墙页签,单击云企业网(基础版)

  4. 定位到目标VPC边界防火墙的云企业网的网络实例,单击操作列下的创建

    如果在资产列表中没有需要开启保护的资产,您可以单击同步资产,同步当前阿里云账号及其成员账号的资产信息。

  5. 创建防火墙面板,根据配置向导,完成VPC边界防火墙配置。

    基础版转发路由器支持诊断是否满足一键开启VPC边界防火墙的条件。您可以在检测完成后,在诊断记录面板查看诊断结果。如果您已了解VPC边界防火墙的创建细则,可以直接跳过一键开启诊断功能,直接创建。

    以下表格介绍了云企业网连通模式下,VPC边界防火墙的配置。

    配置项

    说明

    基本信息

    名称:定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您根据业务的实际情况输入具有意义的名称,并保证名称的唯一性。

    防火墙VPC的配置

    为自动创建的云防火墙VPC和交换机分配网段,用于自动创建防火墙安全VPC(Cloud_Firewall_VPC)进行流量引流处理。从分配的VPC网段中划分1个子网网段,该子网网段用于云防火墙VPC的交换机。子网网段的掩码需小于等于29位,且不与网络规划的网段冲突

    重要

    请基于业务配置,VPC边界防火墙创建完成后无法更改,如需更改需删除后重新创建。

    • 防火墙所使用VPC:默认值为10.0.0.0/8,您可以自定义防火墙VPC的网段。支持设置的网段包含:10.0.0.0/8、172.16.0.0/12、192.168.0.0/16及其子网。

    • 交换机网段:默认值为10.219.219.216/29。如果默认值与您的业务网络规划冲突,您可以自定义该网段。

    • 交换机可用区:云防火墙支持默认分配交换机可用区,您也可以自行设置。如果您的业务延时敏感,您可以自定义防火墙交换机可用区和业务VPC交换机可用区相同,以便降低延时。

    请分配业务VPC所需要的交换机

    需要配置引流保护的业务VPC交换机,用于云防火墙引流所需要的弹性网卡使用。云防火墙会自动分配,如果您的业务延时敏感,可以自定义业务VPC可用区,以降低网络延时。

    重要

    基于业务配置,创建完成后无法更改,如需更改需删除后重新创建。

    • 可用区:选择业务VPC交换机的可用区。

    • 交换机实例:选择业务VPC的交换机实例。

    引流配置

    开启或关闭引流开关,查看防护的网段。

    入侵防御

    选择入侵防御模块(IPS)的工作模式、入侵防御策略。

    • IPS防御模式

      • 观察模式:开启观察模式后,对恶意流量进行监控并告警。

      • 拦截模式:开启拦截模式后,对恶意流量进行拦截,阻断入侵活动。

    • IPS防御能力

      • 基础规则:开启基础规则后,为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。

      • 虚拟补丁:开启虚拟补丁后,实时防御热门的高危应用漏洞。

    说明

    此设置将应用于同一云企业网下的所有网络实例。

  6. 单击开始创建,创建VPC边界防火墙。

  7. 云企业网(基础版)页签,开启已创建的VPC边界防火墙开关。

    只有开启VPC边界防火墙,云防火墙才能够防护您的网络资源。当VPC边界防火墙的防火墙状态变更为已开启,则表示成功开启VPC边界防火墙。

    说明

    开启VPC边界防火墙后,如果增加或者删除VPC路由表信息,云防火墙需要15~30分钟的时间完成路由学习。建议您等待云防火墙路由学习完成后观察路由表生效情况,或加入钉群(群号:33081734),联系产品技术专家进行咨询。

    VPC边界防火墙创建完成后,云防火墙会在专有网络VPC中自动为您创建以下资源:

    • VPC资源:名称为Cloud_Firewall_VPC

      重要

      请勿将其他业务资源加入到Cloud_Firewall_VPC,否则会导致删除VPC边界防火墙时,您添加的其他业务资源无法删除。请勿手动修改和删除此VPC内的网络资源。

    • 交换机资源:名称为Cloud_Firewall_VSWITCH

    • 自定义路由表条目:备注信息为Created by cloud firewall. Do not modify or delete it.

    开启VPC边界防火墙后,会自动为Cloud_Firewall_VPC和业务VPC添加名称为Cloud_Firewall_Security_Group的安全组,并且为该安全组自动配置了放行策略(即授权策略),用于放行到VPC边界防火墙的流量。

    重要

    Cloud_Firewall_Security_Group的安全组和放行策略不可以删除,否则会导致业务流量中断。

    如果需要批量操作或频繁开关VPC边界防火墙,为不影响您的业务,建议在业务流量较小的低峰期进行。

后续操作

  • 开启VPC边界防火墙后,您可以设置VPC边界防火墙策略,控制VPC之间的访问活动。具体操作,请参见VPC边界防火墙访问策略

  • 开启VPC边界防火墙后,您可以通过VPC互访功能,查看VPC之间的相互访问流量。具体操作,请参见VPC互访

  • 开启VPC边界防火墙后,您可以通过VPC防护功能,查看云防火墙拦截的VPC之间的异常事件信息。具体操作,请参见VPC防护

更多操作

编辑VPC边界防火墙

如果您需要修改VPC边界防火墙的配置,可以在VPC边界防火墙云企业网(基础版)页签,定位到目标VPC边界防火墙的云企业网的网络实例,单击右侧操作列的编辑进行修改。

关闭VPC边界防火墙

警告

关闭VPC边界防火墙时,在关闭过程中可能会导致流量闪断。

  1. 防火墙开关页面,单击VPC边界防火墙

  2. 云企业网(基础版)页签,定位到目标VPC边界防火墙的云企业网的网络实例,关闭防火墙开关

    关闭VPC边界防火墙开关后,请耐心等待。当VPC边界防火墙的防火墙状态变更为未开启,则表示成功关闭VPC边界防火墙。

删除VPC边界防火墙

警告

删除VPC边界防火墙时,在删除过程中可能会导致流量闪断。

如果您业务已不需要该VPC边界防火墙,可以在VPC边界防火墙云企业网(基础版)页签,定位到目标VPC边界防火墙的云企业网的网络实例,单击右侧操作列的删除

修改IPS配置

如果您需要修改IPS防御模式、IPS防御能力,或者需要对某些目的IP或者源IP直接放行(即IPS白名单)、修改IPS规则等,可以在已创建的云防火墙实例的操作列,单击配置IPS,在IPS配置页面的VPC边界页签进行配置。具体信息,请参见IPS配置

相关文档