在选择NAT边界防火墙时,您需要根据业务流量、费用成本等因素来确定需要购买的规格。本文依托具体的示例,介绍如何评估所需的NAT边界防火墙规格,帮助您实现资源的有效分配,确保成本效益最优化。
了解NAT边界防火墙的售卖规格
评估步骤
步骤一:确定待开启NAT边界防火墙的NAT网关数量
方式一:通过云防火墙评估
登录云防火墙控制台。
在左侧导航栏,单击防火墙开关。
在NAT边界防火墙页签,确定需要开启NAT边界防火墙的NAT网关数量。
本示例中需要开启的NAT边界防火墙的NAT网关数量有2个,如下图所示,获取NAT网关对应的公网IP地址。
方式二:通过NAT网关评估
- 登录NAT网关管理控制台。
- 在顶部菜单栏,选择公网NAT网关的地域。
在公网NAT网关页面,找到目标公网NAT网关
在公网NAT网关页面,确定需要开启NAT边界防火墙的NAT网关数量。
本示例中需要开启的NAT边界防火墙的NAT网关数量有2个,如下图所示。
步骤二:根据历史数据计算当前业务所需的NAT私网流量处理能力
建议您历史数据选择7天或者7天以上。
方式一:通过云防火墙评估(推荐)
通过该方式评估业务所需的NAT私网流量处理能力,评估结果较为准确。
该方式适用您已经开启互联网边界防火墙,通过互联网边界防火墙主动外联页面,计算出所有NAT EIP的流量峰值。然后根据NAT EIP的流量峰值评估所需的NAT私网流量处理能力。
登录云防火墙控制台。
在左侧导航栏,选择页面。
在可视分析的公网IP页签,查询待开启云防火墙的NAT网关对应的公网IP地址(即NAT EIP),获取NAT网关的总流量峰值。
网关1近7天的总流量峰值如下图所示,即2.11 Mbps+148.96 Mbps=150.07 Mbps。
网关2近7天的总流量峰值如下图所示,即1.55 Mbps+140.43 Mbps=141.98 Mpbs。
将计算出的所有NAT网关的总流量峰值速率相加。
本示例中NAT网关1和NAT网关2的总流量峰值速率相加,即150.07 Mbps+141.98 Mpbs=292.05 Mbps。
重要本示例中NAT网关1和NAT网关2的总流量峰值速率在同一个时间点,可以相加计算。如果您的评估的NAT网关的总流量峰值不在同一时间点,为了评估的更精确,需要取评估时间段内最大的总流量峰值速率。
方式二:通过NAT网关评估
如果您选择该方式评估业务所需的NAT私网流量处理能力,由于NAT网关和云防火墙带宽计算逻辑存在差异,可能存在评估结果偏差较大的情况。建议您先根据评估结果开启NAT防火墙,后续根据业务实际情况,再升级或者降配云防火墙的版本或者规格。
- 登录NAT网关管理控制台。
- 在顶部菜单栏,选择公网NAT网关的地域。
在公网NAT网关页面,定位到待开启NAT边界防火墙的NAT网关,然后在监控列单击
图标查看监控。建议您查看前7天或者更大范围的流量数据,以便评估的更准确。
NAT网关1的入方向和出方向流量峰值速率如下图所示。将入方向和出方向流量峰值速率相加,计算出总流量峰值速率。即11464 bps+13016 bps=24480 bps。
NAT网关2的入方向和出方向流量峰值速率如下图所示。将入方向和出方向流量峰值速率相加,计算出总流量峰值速率。即47600 bps+5376 bps=52976 bps。
将计算出的所有NAT网关的总流量峰值速率相加。
本示例中NAT网关1和NAT网关2的总流量峰值速率相加,即24480 bps+52976 bps=77456 bps。
步骤三:了解不同云防火墙版本中NAT边界防火墙规格
步骤四:结合上述数据评估所需的NAT边界防火墙规格,购买云防火墙
根据对近七天业务所需的私网流量处理能力,以及后续业务所需的私网流量处理能力,再结合云防火墙各版本的流量处理能力,评估出后续要开启的云防火墙版本和NAT边界防火墙的流量处理能力。
如果后续业务所需的NAT边界防火墙实例数不超过20个,NAT边界防火墙各版本流量处理能力不高于1000 Mbps,本示例两个方式的评估结果均建议您选择云防火墙高级版。
云防火墙高级版基础价格默认不包含NAT边界防火墙实例数和NAT边界防火墙各版本流量处理能力,但是支持您扩容,上述评估结果符合云防火墙高级版扩容范围。
如何购买云防火墙,请参见购买云防火墙服务。
相关文档
购买云防火墙后,您需要开启NAT边界防火墙对资产进行防护。具体操作,请参见NAT边界防火墙。
如果业务中需要对流量进行精细化管控,可以配置NAT边界访问控制策略。具体操作,请参见配置NAT边界访问控制策略。
如果业务中需要审计某些流量是否不属于业务范围,可以通过流量日志进行排查。具体操作,请参见日志审计。