配置企业版转发路由器的VPC边界防火墙

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

如果您的网络实例(VPC、VBR、CCN、VPN)通过云企业网的企业版转发路由器连接,可以通过VPC边界防火墙防护网络实例之间的流量,提高业务资产的安全性。本文介绍如何创建和管理企业版转发路由器的VPC边界防火墙。

功能介绍

防护原理

开启VPC边界防火墙后,云防火墙会基于DPI流量分析、IPS入侵防御规则、威胁情报、虚拟补丁、访问控制策略等,对VPC互访的流量进行过滤,判断流量是否满足放行条件,有效拦截非法的访问流量,保障私网资产之间的流量安全。

企业版转发路由器VPC边界防火墙的防护场景示例如下图所示:

image

关于防护范围,请参见什么是云防火墙

对业务的影响

创建VPC边界防火墙时,您无需更改当前的网络拓扑,可以一键创建VPC边界防火墙并设置引流模式(自动引流或者手动引流),实现对业务资产的保护,对业务无影响。创建时长约5分钟。建议您在业务低峰期开启VPC边界防火墙。

自动引流模式下,开启和关闭VPC边界防火墙,预计约需要5~30分钟(取决于路由条目数),对业务无影响。

手动引流模式下,开启和关闭VPC边界防火墙,业务影响时间不定,取决于切流方式。

使用限制

  • 开启VPC边界防火墙时,需要新增一个命名为Cloud_Firewall_VPC的VPC实例,请确保您账号下有足够的可创建的VPC数。关于VPC的数量限制,请参见限制与配额

  • 自动引流模式不支持以下场景:

    • 企业版转发路由器的路由表内存在除100.64.0.0/10内的静态路由

    • VPC实例、VBR实例、TR实例同时存在多个引流场景

    • 将基础版转发路由器添加到引流模式

    • 有路由冲突的转发路由器

    • VPC的前缀列表功能

  • VPC边界防火墙不支持防护VPN网关(如IPsec-VPN、SSL VPN)直接连接到VPC内的场景;但支持防护IPsec-VPN绑定到转发路由器的场景,更多内容,请参见IPsec-VPN应用场景(绑定转发路由器)

  • VPC边界防火墙不支持防护IPv6流量。

创建VPC边界防火墙并设置引流模式

前提条件

操作步骤

  1. 登录云防火墙控制台在左侧导航栏,单击防火墙开关

  2. 防火墙开关页面,单击VPC边界防火墙

  3. VPC边界防火墙页签,单击云企业网(企业版)

  4. 定位到目标VPC边界防火墙的云企业网实例下的转发路由器,单击操作列的创建

    如果在资产列表中没有需要开启保护的资产,您可以单击同步资产,同步当前阿里云账号及其成员账号的资产信息。

    自动引流模式(推荐)

    自动引流模式下,您可以结合自身业务情况创建网络实例级别引流场景,VPC边界防火墙会根据引流场景自动在企业版转发路由器上配置路由,并自动创建VPC边界防火墙弹性网卡完成流量牵引。

    1. 创建VPC防火墙面板,按照下表介绍配置VPC边界防火墙。然后单击一键开启检查,检查完成后,单击下一步

      配置项

      说明

      防火墙基本信息

      防火墙名称定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您根据业务的实际情况输入具有意义的名称,并保证名称的唯一性。

      防火墙VPC的配置

      为自动创建的云防火墙的VPC分配网段,并且从分配的VPC网段中划分3个子网网段。云防火墙VPC的交换机3个子网网段的掩码需小于等于28位,且不与网络规划的网段冲突。

      如果您的业务对网络延时要求较高,建议配置云防火墙交换机的主备可用区和业务VPC交换机的主备可用区相同,以便降低延时。配置的第一个可用区是主可用区,第二个可用区是备可用区。如果不配置,云防火墙会自动为您分配可用区。

      入侵防御

      选择入侵防御模块(IPS)的工作模式、入侵防御策略。

      • IPS防御模式

        • 观察模式:开启观察模式后,对恶意流量进行监控并告警。

        • 拦截模式:开启拦截模式后,对恶意流量进行拦截,阻断入侵活动。

      • IPS防御能力

        • 基础规则:开启基础规则后,为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。

        • 虚拟补丁:开启虚拟补丁后,实时防御热门的高危应用漏洞。

      说明

      此设置将应用于同一云企业网下的所有网络实例。

    2. 待创建完成后,单击下一步。按照下表介绍配置引流场景。

      您也可以暂时不配置引流场景,根据业务需要稍后配置。在云企业网(企业版)页签,定位到目标云企业网实例下的转发路由器,单击防火墙状态列下的立即配置,在引流场景页签,单击立即创建引流场景,然后单击创建引流场景进行配置。

      配置项

      说明

      基础信息

      模板名称:设置引流模板的名称。

      场景类型

      选择使用VPC边界防火墙管控和防护的场景类型。

      • 点到点:两个网元之间流量经过云防火墙管控。适用于简单的网络拓扑环境。

      • 点到多点:一个网元与多个网元之间的流量经过云防火墙管控。适用于星形网络拓扑环境;支持子引流实例选择ALL,一键实现到主引流实例的所有流量经过云防火墙管控(等同于基础版转发路由器VPC边界防火墙的引流场景)。

        重要

        若转发路由器路由表存在自定义的拒绝路由策略,则不支持点到多点的引流场景,建议改成多点间互联的引流场景。

      • 多点间互联:多个网元之间的流量经过云防火墙管控。适用于Full Mesh网状网络拓扑环境。

      说明

      网元即通过企业版转发路由器连接的网络实例,包含专有网络VPC实例、边界路由器VBR实例、转发路由器TR实例。

      引流对象

      配置引流实例类型引流实例ID

      重要

      自动模式引流下,防护VPC的数量按照引流场景配置的网元(VPC、TR、VBR、VPN)个数计量。

    3. 单击确定

      创建引流过程时间较长,预计在30分钟内完成引流配置。完成后,即可实现对转发路由器连接的网络实例之间的流量防护。

    VPC边界防火墙创建完成后会自动置为开启状态,云防火墙会在专有网络VPC中自动为您创建以下资源:

    • VPC资源:名称为Cloud_Firewall_VPC

      重要

      请勿将其他业务资源加入到Cloud_Firewall_VPC,否则会导致删除VPC边界防火墙时,您添加的其他业务资源无法删除。请勿手动修改和删除此VPC内的网络资源。

    • 交换机资源:名称为Cloud_Firewall_VSWITCH

    • 自定义路由表条目:备注信息为Created by cloud firewall. Do not modify or delete it.

    手动引流模式

    手动引流模式下,您需要结合自身业务手动在企业版转发路由器上创建VPC边界防火墙弹性网卡并配置路由,将流量牵引至VPC边界防火墙弹性网卡。

    重要

    手动引流模式下,您还需要选择该云企业网实例连接的VPC网络和使用的交换机。选择了手动模式,需要在云防火墙实例到期前及时续费,否则会导致云防火墙服务不可用时该VPC边界防火墙引流失败,从而引起对应网络中断。

    1. 创建VPC防火墙面板,配置VPC边界防火墙。

      配置项

      说明

      防火墙基本信息

      • 防火墙名称定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您根据业务的实际情况输入具有意义的名称,并保证名称的唯一性。

      • 专有网络:为防火墙配置专有网络。

      • 交换机:为防火墙配置交换机。

      入侵防御

      选择入侵防御模块(IPS)的工作模式、入侵防御策略。

      • IPS防御模式

        • 观察模式:开启观察模式后,对恶意流量进行监控并告警。

        • 拦截模式:开启拦截模式后,对恶意流量进行拦截,阻断入侵活动。

      • IPS防御能力

        • 基础规则:开启基础规则后,为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为管控。

        • 虚拟补丁:开启虚拟补丁后,实时防御热门的高危应用漏洞。

      说明

      此设置将应用于同一云企业网下的所有网络实例。

    2. 单击开始创建

    说明

    开启VPC边界防火墙后,如果增加或者删除VPC路由表信息,云防火墙需要15~30分钟的时间完成路由学习。建议您等待云防火墙路由学习完成后观察路由表生效情况,或加入钉群(群号:33081734),联系产品技术专家进行咨询。

    开启VPC边界防火墙后,会自动添加名称为Cloud_Firewall_Security_Group的安全组,并且为该安全组自动配置了放行策略(即授权策略),用于放行到VPC边界防火墙的流量。

    重要

    Cloud_Firewall_Security_Group的安全组和放行策略不可以删除,否则会导致流量中断。

    警告
    • 创建VPC边界防火墙后,变更所创建的云防火墙VPC中的交换机及路由表,可能会导致流量中断。

    • 关闭或删除企业版转发路由器手动引流模式VPC边界防火墙,可能会导致流量中断。

    如果需要批量操作或频繁开关VPC边界防火墙,为不影响您的业务,建议在业务流量较小的低峰期进行。

后续操作

  • 开启VPC边界防火墙后,您可以设置VPC边界防火墙策略,控制VPC之间的访问活动。具体操作,请参见VPC边界防火墙访问策略

  • 开启VPC边界防火墙后,您可以通过VPC互访功能,查看VPC之间的相互访问流量。具体操作,请参见VPC互访

  • 开启VPC边界防火墙后,您可以通过VPC防护功能,查看云防火墙拦截到的VPC之间的异常事件信息。具体操作,请参见查看VPC拦截事件

更多操作

更改自动引流模式的配置

如果您需要修改自动引流模式的配置,或者业务已不需要该自动引流模式,可以定位目标云企业网实例下的转发路由器,单击右侧操作详情,在VPC边界防火墙详情面板的引流场景页签执行如下操作。

关闭引流场景

  1. 单击已开启的引流场景开关。

  2. 关闭引流场景对话框,您可以通过路由撤销或者路由回滚两种方式关闭引流场景。

    • 路由撤销(推荐):该方式可以撤销在创建引流场景时添加的引流路由,并保留防火墙创建的引流路由表。关闭引流时间与路由条目有关,请您耐心等待。

    • 路由回滚:该方式可以使网元关联回创建引流场景前配置的路由表,并删除防火墙创建的引流路由表。选择路由回滚后,创建引流场景前配置各网元关联路由表的信息会自动显示,请确保之前关联的路由表可用。

  3. 单击确定

    重要

    关闭操作无法撤销,请您操作前仔细确认。关闭完成后及时查看业务的流量情况。

删除引流场景

将鼠标悬浮在目标引流场景卡片上,单击删除,删除该引流场景。在删除自动引流场景前,您需要先关闭引流场景。

修改引流场景

将鼠标悬浮在目标引流场景卡片上,单击编辑,修改该引流场景。

查看路由明细

将鼠标悬浮在目标引流场景卡片上,单击路由明细,查看该VPC防火墙的引流路由明细。

编辑或删除VPC边界防火墙

如果您需要修改VPC边界防火墙的配置,或者业务已不需要该VPC边界防火墙,可以在VPC边界防火墙云企业网(企业版)页签,定位到目标云企业网实例下的转发路由器,单击右侧操作列的编辑删除

重要
  • 手动模式:如果确定要删除防火墙实例,请提前手动删除指向VPC边界防火墙的路由,再删除边界VPC防火墙,避免业务受影响。

  • 自动模式:如果防火墙状态为已开启状态,需要先删除当前所有引流场景,再删除VPC边界防火墙。

修改IPS配置

如果您需要修改IPS防御模式、IPS防御能力,或者需要对某些目的IP或者源IP直接放行(即IPS白名单)、修改IPS规则等,可以在已创建的云防火墙实例的操作列,单击配置IPS,在IPS配置页面的VPC边界页签进行配置。具体信息,请参见IPS配置

相关文档