本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
如果您的网络实例(VPC、VBR、CCN、VPN)通过云企业网的企业版转发路由器连接,可以通过VPC边界防火墙防护网络实例之间的流量,提高业务资产的安全性。本文介绍如何创建和管理企业版转发路由器的VPC边界防火墙。
功能介绍
防护原理
开启VPC边界防火墙后,云防火墙会基于DPI流量分析、IPS入侵防御规则、威胁情报、虚拟补丁、访问控制策略等,对VPC互访的流量进行过滤,判断流量是否满足放行条件,有效拦截非法的访问流量,保障私网资产之间的流量安全。
企业版转发路由器VPC边界防火墙的防护场景示例如下图所示:
关于防护范围,请参见什么是云防火墙。
对业务的影响
创建VPC边界防火墙时,您无需更改当前的网络拓扑,可以一键创建VPC边界防火墙并设置引流模式(自动引流或者手动引流),实现对业务资产的保护,对业务无影响。创建时长约5分钟。建议您在业务低峰期开启VPC边界防火墙。
自动引流模式下,开启和关闭VPC边界防火墙,预计约需要5~30分钟(取决于路由条目数),对业务无影响。
手动引流模式下,开启和关闭VPC边界防火墙,业务影响时间不定,取决于切流方式。
使用限制
开启VPC边界防火墙时,需要新增一个命名为Cloud_Firewall_VPC的VPC实例,请确保您账号下有足够的可创建的VPC数。关于VPC的数量限制,请参见限制与配额。
自动引流模式不支持以下场景:
企业版转发路由器的路由表内存在静态路由(100.64.0.0/10网段及其子网段的静态路由除外)
VPC实例、VBR实例、TR实例同时存在多个引流场景
将基础版转发路由器添加到引流模式
有路由冲突的转发路由器
VPC的前缀列表功能
VPC边界防火墙不支持防护VPN网关(如IPsec-VPN、SSL VPN)直接连接到VPC内的场景;但支持防护IPsec-VPN绑定到转发路由器的场景,更多内容,请参见IPsec-VPN应用场景(绑定转发路由器)。
VPC边界防火墙不支持防护IPv6流量。
创建VPC边界防火墙并设置引流模式
前提条件
已开通企业版、旗舰版或按量付费版云防火墙。具体操作,请参见购买云防火墙服务。
只有云防火墙企业版、旗舰版和按量付费版支持配置企业版转发路由器的VPC边界防火墙,高级版不支持。
已授权云防火墙访问云资源。具体操作,请参见授权云防火墙访问云资源。
已购买了云企业网实例,且已使用企业版转发路由器完成了VPC之间网络互联或者云上和云下网络互通。具体操作,请参见云上云下网络互通、跨账号VPC互通。
在云企业网中存在跨账号开通的VPC时,如果跨账号开通的VPC未获得云防火墙的授权,您将无法创建VPC边界防火墙。建议您使用对应账号登录云防火墙完成授权后,再开启VPC边界防火墙。具体操作,请参见授权云防火墙访问云资源。
确保您网络资源所在的地域都是VPC边界防火墙支持的地域,否则会导致无法开启VPC边界防火墙。具体信息,请参见支持的地域。
操作步骤
VPC开墙启动过程中不支持回退和暂停,如果出现异常系统会自动回退。
登录云防火墙控制台,在左侧导航栏,单击防火墙开关。。
在防火墙开关页面,单击VPC边界防火墙。
在VPC边界防火墙页签,单击云企业网(企业版)。
定位到目标VPC边界防火墙的云企业网实例下的转发路由器,单击操作列的创建。
如果在资产列表中没有需要开启保护的资产,您可以单击同步资产,同步当前阿里云账号及其成员账号的资产信息。
自动引流模式下:如果您的防火墙版本为按量付费版或开通了弹性后付费功能的包年包月版,由VPC防火墙处理后发回企业版转发路由器的网络TR流量费,资费由云防火墙承担,无需用户承担,同时也不会占用用户的VPC规格。
手动引流模式下:流量由VPC防火墙处理后发回企业版转发路由器会产生网络TR流量费,请悉知。
自动引流模式(推荐)手动引流模式自动引流模式下,您可以结合自身业务情况创建网络实例级别引流场景,VPC边界防火墙会根据引流场景自动在企业版转发路由器上配置路由,并自动创建VPC边界防火墙弹性网卡完成流量牵引。
在创建VPC防火墙面板,按照下表介绍配置VPC边界防火墙。然后单击一键开启检查,检查完成后,单击下一步。
配置项
说明
防火墙基本信息
防火墙名称:定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您根据业务的实际情况输入具有意义的名称,并保证名称的唯一性。
防火墙VPC的配置
为云防火墙分配VPC网段,为保持云防火墙正常工作,请分配一个至少27位的且不与网络规划冲突的网段。
如果您的业务延时敏感,您可以自定义防火墙交换机可用区和业务VPC交换机可用区相同,以便降低延时。如果不配置,云防火墙会自动为您分配可用区。
入侵防御
选择入侵防御模块(IPS)的工作模式、入侵防御策略。
IPS防御模式
观察模式:开启观察模式后,对恶意流量进行监控并告警。
拦截模式:开启拦截模式后,对恶意流量进行拦截,阻断入侵活动。
IPS防御能力
基础规则:开启基础规则后,为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。
虚拟补丁:开启虚拟补丁后,实时防御热门的高危应用漏洞。
此设置将应用于同一云企业网下的所有网络实例。
待创建完成后,单击下一步。按照下表介绍配置引流场景。
您也可以暂时不配置引流场景,根据业务需要稍后配置。在云企业网(企业版)页签,定位到目标云企业网实例下的转发路由器,单击防火墙状态列下的立即配置,在引流场景页签,单击立即创建引流场景,然后单击创建引流场景进行配置。
配置项
说明
基础信息
模板名称:设置引流模板的名称。
场景类型
选择使用VPC边界防火墙管控和防护的场景类型。
点到点:两个网元之间流量经过云防火墙管控。适用于简单的网络拓扑环境。
点到多点:一个网元与多个网元之间的流量经过云防火墙管控。适用于星形网络拓扑环境;支持子引流实例选择ALL,一键实现到主引流实例的所有流量经过云防火墙管控(等同于基础版转发路由器VPC边界防火墙的引流场景)。
若转发路由器路由表存在自定义的拒绝路由策略,则不支持点到多点的引流场景,建议改成多点间互联的引流场景。
多点间互联:多个网元之间的流量经过云防火墙管控。适用于Full Mesh网状网络拓扑环境。
网元即通过企业版转发路由器连接的网络实例,包含专有网络VPC实例、边界路由器VBR实例、转发路由器TR实例。
引流对象
配置引流实例类型及引流实例ID。
自动模式引流下,防护VPC的数量按照引流场景配置的网元(VPC、TR、VBR、VPN)个数计量。
单击确定。
创建引流过程时间较长,预计在30分钟内完成引流配置。完成后,即可实现对转发路由器连接的网络实例之间的流量防护。
VPC边界防火墙创建完成后会自动置为开启状态,云防火墙会在专有网络VPC中自动为您创建以下资源:
VPC资源:名称为
Cloud_Firewall_VPC。请勿将其他业务资源加入到Cloud_Firewall_VPC,否则会导致删除VPC边界防火墙时,您添加的其他业务资源无法删除。请勿手动修改和删除此VPC内的网络资源。
交换机资源:名称为
Cloud_Firewall_VSWITCH。自定义路由表条目:备注信息为
Created by cloud firewall. Do not modify or delete it.。
手动引流模式下,您需要结合自身业务手动在企业版转发路由器上创建VPC边界防火墙弹性网卡并配置路由,将流量牵引至VPC边界防火墙弹性网卡。
手动引流模式下,您还需要选择该云企业网实例连接的VPC网络和使用的交换机。选择了手动模式,需要在云防火墙实例到期前及时续费,否则会导致云防火墙服务不可用时该VPC边界防火墙引流失败,从而引起对应网络中断。
在创建VPC防火墙面板,配置VPC边界防火墙。
配置项
说明
防火墙基本信息
防火墙名称:定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您根据业务的实际情况输入具有意义的名称,并保证名称的唯一性。
专有网络:为防火墙配置专有网络。
交换机:为防火墙配置交换机。
入侵防御
选择入侵防御模块(IPS)的工作模式、入侵防御策略。
IPS防御模式
观察模式:开启观察模式后,对恶意流量进行监控并告警。
拦截模式:开启拦截模式后,对恶意流量进行拦截,阻断入侵活动。
IPS防御能力
基础规则:开启基础规则后,为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为管控。
虚拟补丁:开启虚拟补丁后,实时防御热门的高危应用漏洞。
此设置将应用于同一云企业网下的所有网络实例。
单击开始创建。
开启VPC边界防火墙后,如果增加或者删除VPC路由表信息,云防火墙需要15~30分钟的时间完成路由学习。建议您等待云防火墙路由学习完成后观察路由表生效情况,或加入钉群(群号:33081734),联系产品技术专家进行咨询。
开启VPC边界防火墙后,会自动添加名称为Cloud_Firewall_Security_Group的安全组,并且为该安全组自动配置了放行策略(即授权策略),用于放行到VPC边界防火墙的流量。
Cloud_Firewall_Security_Group的安全组和放行策略不可以删除,否则会导致流量中断。
创建VPC边界防火墙后,变更所创建的云防火墙VPC中的交换机及路由表,可能会导致流量中断。
关闭或删除企业版转发路由器手动引流模式VPC边界防火墙,可能会导致流量中断。
如果需要批量操作或频繁开关VPC边界防火墙,为不影响您的业务,建议在业务流量较小的低峰期进行。
后续操作
开启VPC边界防火墙后,您可以设置VPC边界防火墙策略,控制VPC之间的访问活动。具体操作,请参见VPC边界防火墙访问策略。
开启VPC边界防火墙后,您可以通过VPC互访功能,查看VPC之间的相互访问流量。具体操作,请参见VPC互访。
开启VPC边界防火墙后,您可以通过VPC防护功能,查看云防火墙拦截到的VPC之间的异常事件信息。具体操作,请参见查看VPC拦截事件。
更多操作
更改自动引流模式的配置
如果您需要修改自动引流模式的配置,或者业务已不需要该自动引流模式,可以定位目标云企业网实例下的转发路由器,单击右侧操作列详情,在VPC边界防火墙详情面板的引流场景页签执行如下操作。
关闭引流场景
单击已开启的引流场景开关。
在关闭引流场景对话框,您可以通过路由回滚或路由撤销两种方式关闭引流场景。
路由回滚:适合关闭云防火墙时,未修改过云企业网转发路由器(CEN/TR)路由,需快速恢复到云防火墙引流前路由场景。该回滚将直接删除云防火墙引流路由表,业务恢复至原路由表。此过程预计耗时1分钟左右。
路由撤销:适合关闭云防火墙时,修改过云企业网转发路由器(CEN/TR)路由,需撤销云防火墙创建的路由场景。操作仅删除云防火墙路由条目,不删除云防火墙创建的路由表。此过程耗时与路由条目有关,路由条目越多耗时越长。
单击确定。
关闭操作无法撤销,请您操作前仔细确认。关闭完成后及时查看业务的流量情况。
删除引流场景
将鼠标悬浮在目标引流场景卡片上,单击删除,删除该引流场景。在删除自动引流场景前,您需要先关闭引流场景。
修改引流场景
将鼠标悬浮在目标引流场景卡片上,单击编辑,修改该引流场景。
查看路由明细
将鼠标悬浮在目标引流场景卡片上,单击路由明细,查看该VPC防火墙的引流路由明细。
编辑或删除VPC边界防火墙
如果您需要修改VPC边界防火墙的配置,或者业务已不需要该VPC边界防火墙,可以在VPC边界防火墙的云企业网(企业版)页签,定位到目标云企业网实例下的转发路由器,单击右侧操作列的编辑或删除。
手动模式:如果确定要删除防火墙实例,请提前手动删除指向VPC边界防火墙的路由,再删除边界VPC防火墙,避免业务受影响。
自动模式:如果防火墙状态为已开启状态,需要先删除当前所有引流场景,再删除VPC边界防火墙。
修改IPS配置
如果您需要修改IPS防御模式、IPS防御能力,或者需要对某些目的IP或者源IP直接放行(即IPS白名单)、修改IPS规则等,可以在已创建的云防火墙实例的操作列,单击配置IPS,在IPS配置页面的VPC边界页签进行配置。具体信息,请参见IPS配置。
相关文档
- 本页导读 (1)
- 功能介绍
- 防护原理
- 对业务的影响
- 使用限制
- 创建VPC边界防火墙并设置引流模式
- 前提条件
- 操作步骤
- 后续操作
- 更多操作
- 更改自动引流模式的配置
- 编辑或删除VPC边界防火墙
- 修改IPS配置
- 相关文档
