NAT边界防火墙

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

VPC内资源(例如ECS、ECI等)通过NAT网关直接访问互联网时,可能存在未经授权的访问、数据泄露、恶意流量攻击等安全风险。为了降低这些风险,您可以开启NAT边界防火墙,利用云防火墙来拦截未授权的流量访问。本文介绍如何配置NAT边界防火墙。

您可以通过视频指导,快速了解如何为NAT网关开启防护。

功能介绍

防护原理

NAT边界防火墙支持一键开启和资产同步、NAT边界的访问控制策略配置、流量分析、日志审计等功能。

开启NAT边界防火墙后,NAT边界防火墙会检测所有经过VPC内私网资源(包括同一VPC内的资源和跨VPC的资源)流向该NAT网关的出方向流量。NAT边界防火墙会根据您配置的访问控制策略、云防火墙内置的威胁情报库等策略,匹配流量的访问源、目的地址、端口、协议、应用、域名等元素,判断当前流量是否满足放行标准,从而限制私网资源到互联网的未授权访问。

NAT边界防火墙的防护场景示例如下图所示:

image

对业务的影响

开启和关闭NAT边界防火墙过程中,云防火墙会进行NAT路由切换,会出现1~2秒的长连接闪断,短连接无影响。建议您在业务低峰期进行开启和操作。

  • 创建NAT边界防火墙对业务无影响。但如果在创建时选择了开启NAT边界防火墙,在开启过程中会出现1~2秒的长连接闪断,短连接无影响。

    说明

    NAT边界防火墙的创建时长与NAT网关绑定的EIP数量相关,每增加一个EIP,创建时长约增加2~5分钟。此过程对业务无影响。

  • 关闭后删除NAT边界防火墙对业务无影响。

使用限制

  • 开启NAT边界防火墙后,请勿变更NAT边界防火墙所在交换机的路由或者下一跳为NAT边界防火墙的路由,否则可能会导致业务流量中断。

  • 云防火墙实例到期后如果未及时续费,NAT边界防火墙将被自动释放,同时流量路由会切换至原始的内网访问公网的路由,切换过程可能会造成业务短暂中断。

    建议您开启自动续费或者提前续费,以确保云防火墙服务可用,具体操作,请参见续费说明

  • 如果您的NAT边界防火墙在2023年09月01日之前创建,NAT边界防火墙对连接到相同二元组(目的IP、目的端口)的所有网络连接的防护带宽上限为20 Mbps。如果连接到相同二元组的网络连接带宽超过20 Mbps,可能会出现网络抖动。如果您需要提升NAT边界防火墙的防护带宽上限,建议您删除并重新创建NAT边界防火墙。

    2023年09月01日及之后创建的NAT边界防火墙不存在20 Mbps的防护带宽限制。

  • NAT边界防火墙不支持防护IPv6流量。

使用流程

您可以参考以下NAT边界防火墙的使用流程图,帮助您更好地使用NAT边界防火墙。

说明

云防火墙默认提供了创建NAT边界防火墙的授权规格,如果默认的授权规格不满足需求,您需要购买NAT边界防火墙授权规格。更多信息,请参见购买云防火墙服务

image

前提条件

  • 已开通云防火墙服务,并且购买了足够数量的NAT边界防火墙授权数。具体操作,请参见购买云防火墙服务

  • 已创建公网NAT网关,具体操作,请参见创建和管理公网NAT网关实例

    重要

    目前,NAT边界防火墙仅支持防护公网NAT网关。

    NAT网关满足以下条件:

    • NAT网关所在的地域支持开通NAT边界防火墙。NAT边界防火墙支持的地域,请参见支持的地域

    • NAT网关已至少绑定1个EIP,并且NAT网关绑定的EIP不超过10个。相关内容,请参见创建和管理公网NAT网关实例

    • NAT网关已配置了SNAT条目,并且不存在DNAT条目。相关内容,请参见创建和管理SNAT条目

      如果NAT网关存在DNAT条目,您需要先删除DNAT条目,才可以开启NAT边界防火墙。具体操作,请参见创建和管理DNAT条目

    • NAT网关所在的VPC已配置了0.0.0.0指向该NAT网关的路由条目。相关内容,请参见创建和管理路由表

    • NAT网关所在的VPC能够分配至少28位的子网段(支持VPC附加网段)。

创建并开启NAT边界防火墙

您可以参考以下内容创建NAT边界防火墙,一个NAT网关实例对应一个NAT边界防火墙。

注意事项

  • 新建的NAT网关需要1~5分钟同步到NAT边界防火墙。

  • 新建的NAT网关中的EIP和SNAT条目1~2分钟同步到NAT边界防火墙。同步完成前,EIP和SNAT条目不会生效。

    您也可以在防火墙开关 > 互联网边界防火墙页面,单击同步资产,手动同步NAT网关的EIP数量和SNAT条目。

  • 新建的指向NAT网关的路由需要30分钟同步到NAT边界防火墙。

    您也可以在防火墙开关 > NAT边界防火墙页面,单击同步资产,手动同步指向NAT网关的路由。

  • 创建NAT边界防火墙时,云防火墙会进行以下操作:

    • 在NAT防火墙交换机的路由表中添加一条指向NAT网关的0.0.0.0/0路由。

    • 修改系统路由表中的0.0.0.0/0路由条目,将其下一跳将指向云防火墙ENI。

    说明

    由于创建NAT防火墙会在VPC中创建自定义路由表,若您所选创建NAT防火墙的VPC中存在使用Flannel网络插件的ACK集群,请您在NAT防火墙创建完成后,配置Cloud Controller Manager的多路由表功能,在多路由表列表中添加VPC系统路由表,否则可能会影响集群节点扩容。具体操作,请参见使用VPC的多路由表功能

    若您已使用Cloud Controller Manager的多路由表功能,请忽略该提醒。

操作步骤

  1. 登录云防火墙控制台在左侧导航栏,单击防火墙开关

  2. 单击NAT边界防火墙页签,在目标NAT网关的操作列单击。

  3. 创建NAT防火墙面板,单击一键开启检查。检查完成后,所有诊断均已通过检查,单击下一步

    如果您确保NAT网关满足创建NAT防火墙的所有条件,可以单击跳过直接创建

  4. 在创建NAT边界防火墙面板,配置NAT边界防火墙信息。

    配置项

    说明

    基本信息

    名称

    自定义NAT边界防火墙的名称。

    防火墙引流配置

    选择路由表

    选择原下一跳为NAT网关的路由表,创建NAT防火墙会自动将下一跳改为云防火墙的路由表,实现私网资产访问流量的下一跳指向NAT边界防火墙。

    引流交换机交换机网段

    支持新建交换机或者选择已有的交换机。

    • 新建交换机网段配置规则

      • 需配置至少28位不与网络规划冲突的交换机网段,分配给NAT防火墙进行流量引流处理。

      • 交换机网段必须是VPC网段的子网(支持VPC附加网段),且不与当前业务网段冲突。分配后,云防火墙会自动绑定自定义引流路由表。

    • 选择已有交换机的注意事项

      • NAT边界防火墙需有一个交换机,且交换机满足以下需求。具体操作,请参见创建和管理专有网络

        • 交换机、NAT网关、NAT边界防火墙属于同一个VPC。

        • 交换机与NAT网关处于同一个可用区。

        • 交换机的网段至少为28位,并且确保剩余可用IP数大于NAT网关的EIP数。

        • 交换机未接入任何其他云资源。

      • 创建一个新的路由表,并将路由表绑定到上述交换机。具体操作,请参见创建和管理路由表

      • (可选)按需在新的路由表添加除0.0.0.0/0网段外的自定义路由条目。具体操作,请参见使用自定义路由表进行网络流量管理

        例如,您的业务中存在跨VPC通信,此时您需要手动将VPC的回程路由添加到路由表。

      说明

      如果交换机列表中没有目标交换机,或者目标交换机置灰无法选择,请排查交换机是否绑定了其他云资源、交换机是否已绑定自定义路由表。确认交换机配置正确后,可以在NAT边界防火墙页签右上角单击同步资产

    引擎模式

    引擎模式

    访问控制策略的匹配模式。

    • 宽松模式(默认):该模式下,针对应用和域名的访问控制策略在遇到未识别应用或域名的流量时,将会放行流量,以优先保证业务。

    • 严格模式:该模式下,针对应用和域名的访问控制策略在遇到未识别应用或域名的流量时,将会转交流量给后续策略继续匹配。如果有拒绝策略命中未识别流量,未识别流量将被拦截。

  5. 勾选以上注意事项我已阅读确,单击确认开墙

  6. NAT边界防火墙创建完成后,您需要手动将启用状态置为开启状态。

    开启后,流量的路由会切到云防火墙,云防火墙才能防护访问流量。

后续操作

创建NAT防火墙后,您可以为NAT防火墙设置访问控制策略、查看私网访问日志等,以便您更好地管控私网资产和互联网之间的流量访问。

配置访问控制策略

如果您未配置任何访问控制策略,云防火墙默认放行流量。您可以创建NAT边界访问控制策略,精细化管控私网资产访问公网的流量。

进入防火墙开关 > NAT边界防火墙页面,在目标NAT边界防火墙的操作列,单击image.png图标后选择访问控制

您可以在跳转后的页面创建NAT边界访问控制策略,具体操作,请参见配置NAT边界访问控制策略

查询审计日志

进入防火墙开关 > NAT边界防火墙页面,在目标NAT边界防火墙的操作列,单击image.png图标后选择日志审计

您可以在跳转后的页面查询私网访问互联网的流量日志。更多信息,请参见日志审计

查看流量分析

进入防火墙开关 > NAT边界防火墙页面,在目标NAT边界防火墙的操作列,单击image.png图标后选择流量分析

您可以在跳转后的页面查看NAT网关主动访问互联网的情况。更多信息,请参见主动外联

查看NAT私网流量统计

在左侧导航栏,单击总览,然后在总览页面右上角单击已购规格用量,查看NAT私网流量的处理能力、近期流量峰值、NAT边界防火墙授权数使用情况。

image.png

查看NAT边界防火墙的交换机列表

进入防火墙开关 > NAT边界防火墙页面,在NAT边界防火墙列表右上角,单击防火墙交换机列表

关闭和删除NAT边界防火墙

警告

关闭NAT边界防火墙时,云防火墙会做NAT路由切换,会出现1~2秒长连接闪断,建议您在业务低峰期关闭。关闭后删除NAT边界防火墙不会影响业务。

如果未关闭时直接删除NAT边界防火墙,云防火墙会同时进行关闭和删除操作,该过程会出现1~2秒长连接闪断。

  • 关闭NAT边界防火墙

    进入防火墙开关 > NAT边界防火墙页面,在NAT边界防火墙的开关列,关闭NAT边界防火墙。

  • 删除NAT边界防火墙

    进入防火墙开关 > NAT边界防火墙页面,在NAT边界防火墙的操作列,单击image.png图标后选择删除,删除NAT边界防火墙。

相关文档