首页 云防火墙 操作指南 防火墙开关 VPC边界防火墙 配置企业版转发路由器的VPC边界防火墙

配置企业版转发路由器的VPC边界防火墙

更新时间: 2023-07-18 11:49:36

本文介绍如何配置企业版转发路由器的VPC边界防火墙。

应用场景

支持防护:

  • 同地域多个专有网络VPC(Virtual Private Cloud)互访的流量

  • 通过企业版转发路由器TR(Transit Router)实现跨地域多个VPC互访的流量

  • VPC和边界路由器VBR(Virtual Border Router)互访的流量(即VPC和本地数据中心IDC互访的流量)

  • VPC和云连接网CCN(Cloud Connect Network)互访的流量

  • 多个VBR互访的流量

  • CCN和VBR互访的流量

  • VPC和公网VPN互访的流量

不支持防护:多个CCN互访的流量

使用限制

  • 开启VPC边界防火墙时,需确保创建的VPC总数量不超过配额。创建的VPC中,包含开启VPC边界防火墙时自动新增的VPC(即新增一个实例名称为Cloud_Firewall_VPC的VPC)。VPC配额不足的情况下,您将无法开启VPC边界防火墙。关于VPC的数量限制,请参见限制与配额

    例如,同一地域内支持创建的VPC的数量默认为10个,由于开启VPC边界防火墙后会自动创建一个VPC,此时您最多可以再创建9个VPC。

  • 当企业版转发路由器的路由表内存在除100.64.0.0/10内的静态路由时,不支持配置引流模式。

  • 自动引流模式不支持VPC实例、VBR实例、TR实例同时存在多个引流场景;不支持将基础版转发路由器添加到引流模式;不支持有路由冲突的转发路由器;不支持VPC的前缀列表功能;不支持VPN网关。

前提条件

查看统计信息

云防火墙为您展示当前账号下VPC边界防火墙的统计信息。

  1. 登录云防火墙控制台。在左侧导航栏,单击防火墙开关

  2. VPC边界防火墙页签,您可以查看当前账号下VPC防火墙未创建数、已创建数和可用授权数;网元总数、未保护数和已保护数。

    当版本默认的可用授权数(可防护VPC边界防火墙实例数)占用满时,您可以单击升级授权数根据实际需求进行授权数扩展。关于各版本支持的可防护VPC边界防火墙实例数,请参见包年包月

    image.png
  3. 单击VPC防火墙区域的查看图标,查看云企业网(企业版)、云企业网(基础版)和高速通道VPC防火墙实例未创建数、已创建数。

  4. 单击网元保护数区域的查看图标,查看网元VPC、VBR、TR、VPN的总数以及未保护和已保护数。

其中,数据统计逻辑如下:

  • 云企业网(企业版)

    • 网元未保护数:表示未接入VPC边界防火墙保护的网元数,包含VPC、VBR、TR、VPN(不含手动模式下的网元数)。

    • 网元已保护数:表示已接入VPC边界防火墙保护的网元数,包含VPC、VBR、TR、VPN(不含手动模式下的网元数)。

    • 可用授权数:已开启VPC边界防火墙实例数,以单个CEN-TR计算。

  • 云企业网(基础版)

    • 网元未保护数:未接入VPC边界防火墙保护的VPC数。

    • 网元已保护数:已接入VPC边界防火墙保护的VPC数。

    • 可用授权数:已开启VPC边界防火墙实例数,以单个VPC计算。

  • 高速通道

    • 网元未保护数:未接入VPC边界防火墙保护的VPC数。

    • 网元已保护数:已接入VPC边界防火墙的VPC数。

    • 可用授权数:已开启VPC边界防火墙实例数,以每对VPC(即VPC实例和对端VPC实例)计算。

创建VPC边界防火墙

  1. 登录云防火墙控制台在左侧导航栏,单击防火墙开关

  2. 防火墙开关页面,单击VPC边界防火墙

  3. VPC边界防火墙页签,单击云企业网(企业版)

  4. 定位到目标VPC边界防火墙的云企业网实例下的转发路由器,单击操作列的创建

    云防火墙可以对通过企业版转发路由器连接的网络实例(包括VPC实例、VBR实例、TR实例、VPN实例)间流量进行管控。

    • 自动引流模式(推荐)

      自动引流模式下,您可以结合自身业务情况创建网络实例级别引流场景,VPC边界防火墙会根据引流场景自动在企业版转发路由器上配置路由,并自动创建VPC边界防火墙弹性网卡完成流量牵引。

      1. 创建VPC防火墙面板,按照下表介绍配置VPC边界防火墙。然后单击开始创建

        配置项

        说明

        防火墙基本信息

        防火墙名称定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您根据业务的实际情况输入具有意义的名称,并保证名称的唯一性。

        防火墙VPC的配置

        为自动创建的云防火墙的VPC分配网段,并且从分配的VPC网段中划分3个子网网段。云防火墙VPC的交换机3个子网网段的掩码需小于等于28位,且不与网络规划的网段冲突。

        入侵防御

        选择入侵防御模块(IPS)的工作模式、入侵防御策略。

        • IPS防御模式

          • 观察模式:开启观察模式后,对恶意流量进行监控并告警。

          • 拦截模式:开启拦截模式后,对恶意流量进行拦截,阻断入侵活动。

        • IPS防御能力

          • 基础规则:开启基础规则后,为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。

          • 虚拟补丁:开启虚拟补丁后,实时防御热门的高危应用漏洞。

        说明

        此设置将应用于同一云企业网下的所有网络实例。

      2. 待创建完成后,单击下一步。按照下表介绍配置引流场景。

        您也可以暂时不配置引流场景,根据业务需要稍后配置。在云企业网(企业版)页签,定位到目标云企业网实例下的转发路由器,单击防火墙状态列下的立即配置,在引流场景页签,单击立即创建引流场景,然后单击创建引流场景进行配置。

        配置项

        说明

        基础信息

        模板名称:设置引流模板的名称。

        场景类型

        选择使用VPC边界防火墙管控和防护的场景类型。

        • 点到点:两个网元之间流量经过云防火墙管控。适用于简单的网络拓扑环境。

        • 点到多点:一个网元与多个网元之间的流量经过云防火墙管控。适用于星形网络拓扑环境;支持子引流实例选择ALL,一键实现到主引流实例的所有流量经过云防火墙管控。

        • 多点间互联:多个网元之间的流量经过云防火墙管控。适用于Full Mesh网状网络拓扑环境。

        说明

        网元即通过企业版转发路由器连接的网络实例,包含专有网络VPC实例、边界路由器VBR实例、转发路由器TR实例。

        引流对象

        配置引流实例类型引流实例ID

        重要

        自动模式引流下,防护VPC的数量按照引流场景配置的网元(VPC、TR、VBR、VPN)个数计量。

      3. 单击确定

        创建引流过程时间较长,预计在30分钟内完成引流配置。完成后,即可实现对转发路由器连接的网络实例之间的流量防护。

    • 手动引流模式

      手动引流模式下,您可以结合自身业务情况手动在企业版转发路由器上创建VPC边界防火墙弹性网卡并配置路由,将流量牵引至VPC边界防火墙弹性网卡。

      重要

      手动引流模式下,您还需要选择该云企业网实例连接的VPC网络和使用的交换机。选择了手动模式,需要在云防火墙实例到期前及时续费,否则会导致云防火墙服务不可用时该VPC边界防火墙引流失败,从而引起对应网络中断。

      1. 创建VPC防火墙面板,配置VPC边界防火墙。

        配置项

        说明

        防火墙基本信息

        • 防火墙名称定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您根据业务的实际情况输入具有意义的名称,并保证名称的唯一性。

        • 专有网络:为防火墙配置专有网络。

        • 交换机:为防火墙配置交换机。

        入侵防御

        选择入侵防御模块(IPS)的工作模式、入侵防御策略。

        • IPS防御模式

          • 观察模式:开启观察模式后,对恶意流量进行监控并告警。

          • 拦截模式:开启拦截模式后,对恶意流量进行拦截,阻断入侵活动。

        • IPS防御能力

          • 基础规则:开启基础规则后,为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。

          • 虚拟补丁:开启虚拟补丁后,实时防御热门的高危应用漏洞。

        说明

        此设置将应用于同一云企业网下的所有网络实例。

      2. 单击开始创建

    说明

    开启VPC边界防火墙后,如果增加或者删除VPC路由表信息,云防火墙需要15~30分钟的时间完成路由学习。建议您等待云防火墙路由学习完成后观察路由表生效情况,或加入钉群(群号:33081734),联系产品技术专家进行咨询。

    VPC边界防火墙创建完成后,云防火墙会在专有网络VPC中自动为您创建以下资源:

    • VPC资源:名称为Cloud_Firewall_VPC

      重要

      请勿将其他业务资源加入到Cloud_Firewall_VPC,否则会导致删除VPC边界防火墙时,您添加的其他业务资源无法删除。请勿手动修改和删除此VPC内的网络资源。

    • 交换机资源:名称为Cloud_Firewall_VSWITCH

    • 自定义路由表条目:备注信息为Created by cloud firewall. Do not modify or delete it.

    开启VPC边界防火墙后,云服务器ECS(Elastic Compute Service)会自动添加名称为Cloud_Firewall_Security_Group的安全组,并且为该安全组自动配置了放行策略(即授权策略),用于放行VPC边界防火墙到ECS的入方向流量。

    重要

    Cloud_Firewall_Security_Group的安全组和放行策略不可以删除,否则会导致VPC边界防火墙到ECS的入方向流量无法受到VPC边界防火墙的防护。

    警告
    • 关闭或者删除VPC边界防火墙,在关闭过程中可能会导致流量闪断。

    • 创建VPC边界防火墙后,变更所创建的云防火墙VPC中的交换机及路由表,可能会导致流量中断。

    • 关闭或删除企业版转发路由器手动引流模式VPC边界防火墙,可能会导致流量中断。

    如果需要批量操作或频繁开关VPC边界防火墙,为不影响您的业务,建议在业务流量较小的低峰期进行。

管理自动引流模式

  1. VPC边界防火墙云企业网(企业版)页签,定位到目标云企业网实例下的转发路由器,单击右侧操作详情

  2. VPC边界防火墙详情面板的引流场景页签,根据业务需要,执行如下操作。

    • 关闭引流场景

      1. 单击已开启的引流场景开关。

      2. 关闭引流场景对话框,您可以通过路由撤销或者路由回滚两种方式关闭引流场景。

        • 路由撤销(推荐):撤销在创建引流场景时添加的引流路由,对业务无影响。关闭引流时间与路由条目有关,预估在30分钟,请您耐心等待。

        • 路由回滚:恢复到创建引流场景前配置的路由表,适用于刚创建引流场景时需要变更或者关闭操作,对业务可能存在中断影响。选择路由回滚后,在关闭引流场景对话框会显示待恢复的路由表详情。

      3. 单击确定

        重要

        关闭操作无法撤销,请您操作前仔细确认。关闭完成后及时查看业务的流量情况。

    • 删除自动引流场景

      将鼠标悬浮在目标引流场景卡片上,单击删除,删除该引流场景。在删除自动引流场景前,您需要先关闭引流场景。

    • 编辑自动引流场景

      将鼠标悬浮在目标引流场景卡片上,单击编辑,修改该引流场景。

    • 查看路由明细

      将鼠标悬浮在目标引流场景卡片上,单击路由明细,查看该VPC防火墙的引流路由明细。

编辑或删除VPC边界防火墙

如果您需要修改VPC边界防火墙的配置,或者业务已不需要该VPC边界防火墙,可以在VPC边界防火墙云企业网(企业版)页签,定位到目标云企业网实例下的转发路由器,单击右侧操作列的编辑删除

重要
  • 手动模式:如果确定要删除防火墙实例,请提前手动删除指向VPC边界防火墙的路由,再删除边界VPC防火墙,避免业务受影响。

  • 自动模式:如果防火墙状态为已开启状态,需要先删除当前所有引流场景,再删除VPC边界防火墙。

后续步骤

  • 开启VPC边界防火墙后,您可以设置VPC边界防火墙策略,控制VPC之间的访问活动。具体操作,请参见VPC边界防火墙访问策略

  • 开启VPC边界防火墙后,您可以通过VPC互访功能,查看VPC之间的相互访问流量。具体操作,请参见VPC互访

  • 开启VPC边界防火墙后,您可以通过VPC防护功能,查看云防火墙拦截到的VPC之间的异常事件信息。具体操作,请参见VPC防护

阿里云首页 云防火墙 相关技术圈