本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
如果您的组网中VPC实例通过VPC对等连接或者高速通道的方式连接,可以通过VPC边界防火墙防护组网中VPC实例之间的流量,提高业务资产的安全性。本文介绍如何配置高速通道VPC边界防火墙。
功能介绍
防护组网图
关于防护范围,请参见什么是云防火墙。
对业务的影响
创建VPC边界防火墙时,您无需更改当前的网络拓扑,可以创建VPC边界防火墙,实现对业务资产的保护。创建时长约5分钟。对业务无影响。建议您在业务低峰期开启VPC边界防火墙。
开启和关闭VPC边界防火墙,预计约需要5~30分钟(取决于路由条目数),过程中会出现长连接秒级闪断,短连接无影响。
建议在开启VPC边界防火墙之前检查您的应用程序是否支持TCP自动重传机制,并密切关注应用连接状态,以避免由于未配置重传机制而导致的连接中断。
使用限制
限制项 | 说明 | 处理建议 |
限制项 | 说明 | 处理建议 |
VPC的限制 | 开启VPC边界防火墙时,需要新增一个命名为Cloud_Firewall_VPC的VPC实例,请确保您账号下有足够的可创建的VPC数。关于VPC的数量限制,请参见限制与配额。 例如,同一地域内支持创建的VPC的数量默认为10个,由于开启VPC边界防火墙后会自动创建一个VPC,此时您最多可以再创建9个VPC。 | 如果配额已满,您需要修改VPC配额的上限。 具体操作,请参见管理VPC配额。 |
流量类型限制 | VPC边界防火墙不支持防护IPv6流量。 | 无 |
路由限制 | 在高速通道中不支持防护子网掩码为32位的路由。如果路由的子网掩码为32位,开启VPC边界防火墙后,会导致对此网段的网络访问中断。 | 建议您先将网段掩码长度修改为小于等于30后,再开启VPC边界防火墙,或者加入钉群(群号:33081734),联系产品技术专家进行咨询。 |
创建并开启VPC边界防火墙
前提条件
已开通企业版、旗舰版或按量付费版云防火墙。具体操作,请参见购买云防火墙服务。
只有云防火墙企业版、旗舰版和按量付费版支持配置企业版转发路由器的VPC边界防火墙,高级版不支持。
已授权云防火墙访问云资源。具体操作,请参见授权云防火墙访问云资源。
已购买高速通道实例,并且已使用高速通道或者VPC对等连接完成了VPC之间的网络互联。具体操作,请参见使用VPC对等连接实现VPC私网互通。
确保您网络资源所在的地域都是VPC边界防火墙支持的地域。具体信息,请参见支持的地域。
创建VPC边界防火墙后,变更所创建的云防火墙VPC中的交换机及路由表,可能会导致流量中断。
VPC开墙启动过程中不支持回退和暂停,如果出现异常系统会自动回退。
操作步骤
登录云防火墙控制台,在左侧导航栏,单击防火墙开关。
在VPC边界防火墙页签,单击高速通道。
在高速通道页签,单击同步资产,系统为您同步当前账号及其成员账号的资产信息。
整个过程预计需要1~2分钟。
定位到需要创建VPC边界防火墙的高速通道实例,在操作列单击创建。
如果高速通道实例过多,您可以在列表上方使用地域、VPC实例过滤列表。
在创建VPC边界防火墙对话框,完成VPC边界防火墙配置。配置描述如下。
配置项
说明
配置项
说明
实例名
定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您使用具有业务意义的名称,并保证名称的唯一性。
对等互通方式
确认互通方式。对等互通方式指VPC之间或VPC与本地数据中心之间的通信方式,此处固定为高速通道,无需您手动设置。
VPC
确认VPC地域和VPC实例,选择要防护的路由表,并填写目标网段。
路由表
创建VPC时,系统会为您自动创建一张默认的路由表,用于为专有网络添加系统路由来管理专有网络的流量。VPC支持按需创建多个路由表。详细内容,请参见路由表概述。
在云防火墙控制台创建VPC边界防火墙时,云防火墙自动读取您的VPC路由表信息。高速通道支持多个路由表,因此您在高速通道下创建VPC边界防火墙时可看到多个路由表,并可以选择需要防护的VPC路由表。
目标网段
在路由表下拉列表中选中某个路由时,目标网段会自动展示该路由表的默认目标网段。如果您需要防护其他网段,可手动修改目标网段。支持添加多个网段,多个网段间用英文逗号隔开。
对端VPC
确认对端VPC地域和VPC实例,选择要防护的路由表,并填写目标网段。
入侵防御
选择要开启的入侵防御策略,可选项:
IPS防御模式
观察模式:开启观察模式后,对恶意流量进行监控并告警。
拦截模式:开启拦截模式后,对恶意流量进行拦截,阻断入侵活动。
IPS防御能力
基础规则:开启基础规则后,为您的资产提供基础的防护能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。
虚拟补丁:开启虚拟补丁后,实时防御热门的高危应用漏洞。
开启VPC防火墙开关
开启开关,则在创建VPC边界防火墙后,自动开启VPC边界防火墙开关。
单击提交并确认。
开启VPC边界防火墙后,如果增加或者删除VPC路由表信息,云防火墙需要15~30分钟的时间完成路由学习。建议您等待云防火墙路由学习完成后观察路由表生效情况,或加入钉群(群号:33081734),联系产品技术专家进行咨询。
VPC边界防火墙创建完成后,云防火墙会在专有网络VPC中自动为您创建以下资源:
VPC资源:名称为
Cloud_Firewall_VPC。请勿将其他业务资源加入到Cloud_Firewall_VPC,否则会导致删除VPC边界防火墙时,您添加的其他业务资源无法删除。请勿手动修改和删除此VPC内的网络资源。
交换机资源:名称为
Cloud_Firewall_VSWITCH。自定义路由表条目:备注信息为
Created by cloud firewall. Do not modify or delete it.。
开启VPC边界防火墙后,云服务器ECS(Elastic Compute Service)会自动添加名称为Cloud_Firewall_Security_Group的安全组,并且为该安全组自动配置了放行策略(即授权策略),用于放行VPC边界防火墙到ECS的入方向流量。
Cloud_Firewall_Security_Group的安全组和放行策略不可以删除,否则会导致VPC边界防火墙到ECS的入方向流量无法受到VPC边界防火墙的防护。
如果需要批量操作或频繁开关VPC边界防火墙,为不影响您的业务,建议在业务流量较小的低峰期进行。
在高速通道页签,开启已创建的VPC边界防火墙开关。
只有开启VPC边界防火墙,云防火墙才能够防护您的网络资源。当VPC边界防火墙的防火墙状态变更为已开启,则表示成功开启VPC边界防火墙。
后续操作
开启VPC边界防火墙后,您可以设置VPC边界防火墙策略,控制VPC之间的访问活动。具体操作,请参见VPC边界防火墙访问策略。
开启VPC边界防火墙后,您可以通过VPC互访功能,查看VPC之间的相互访问流量。具体操作,请参见VPC互访。
开启VPC边界防火墙后,您可以通过VPC防护功能,查看云防火墙拦截的VPC之间的异常事件信息。具体操作,请参见VPC防护。
更多操作
关闭VPC边界防火墙
关闭VPC边界防火墙时,在关闭过程中可能会导致流量闪断。
如果您需要关闭VPC边界防火墙,可以在高速通道页签,定位到目标VPC边界防火墙实例,关闭防火墙开关。
当VPC边界防火墙的防火墙状态变更为未开启,则表示成功关闭VPC边界防火墙。
删除VPC边界防火墙
删除VPC边界防火墙时,在删除过程中可能会导致流量闪断。
如果您业务已不需要已创建的VPC边界防火墙,可以在高速通道页签,定位到目标VPC边界防火墙实例,单击右侧操作列的删除。
编辑VPC边界防火墙
如果您需要修改VPC边界防火墙的配置,可以在高速通道页签,定位到目标VPC边界防火墙实例,单击右侧操作列的编辑。
修改IPS配置
如果您需要修改IPS防御模式、IPS防御能力,或者需要对某些目的IP或者源IP直接放行(即IPS白名单)、修改IPS规则等,可以在已创建的云防火墙实例的操作列,单击配置IPS,在IPS配置页面的VPC边界页签进行配置。具体信息,请参见IPS配置。
相关文档
开启VPC边界防火墙后,您可以设置VPC边界防火墙策略,控制VPC之间的访问活动。具体操作,请参见VPC边界防火墙访问策略。
开启VPC边界防火墙后,您可以通过VPC互访功能,查看VPC之间的相互访问流量。具体操作,请参见VPC互访。
开启VPC边界防火墙后,您可以通过VPC防护功能,查看云防火墙拦截到的VPC之间的异常事件信息。具体操作,请参见查看VPC拦截事件。
- 本页导读 (1)
- 功能介绍
- 防护组网图
- 对业务的影响
- 使用限制
- 创建并开启VPC边界防火墙
- 前提条件
- 操作步骤
- 后续操作
- 更多操作
- 关闭VPC边界防火墙
- 删除VPC边界防火墙
- 编辑VPC边界防火墙
- 修改IPS配置
- 相关文档