NAT防火墙

更新时间: 2023-09-20 15:55:34

NAT(Network Address Translation)防火墙支持对私网IP访问公网的流量进行访问控制和防护,降低企业安全风险。本文介绍如何配置NAT防火墙。

功能介绍

NAT防火墙通过对私网IP访问公网的流量管控,限制内部网络对外部网络的访问,只允许指定的端口和协议通过,有效地保护企业内部网络的安全,防止信息泄漏和攻击。NAT防火墙支持一键开启和资产同步、私网到公网访问流量的访问控制策略配置、流量分析、日志审计等功能。

防护原理

image

对业务的影响

  • 创建和删除NAT防火墙过程中,云防火墙会进行NAT路由切换,此时会出现10秒以内的长连接闪断,短连接无影响。

    建议您在业务低峰期进行创建和删除操作。

    说明

    NAT防火墙的创建时长与NAT网关绑定的EIP数量相关,每增加一个EIP,创建时长约增加2分钟。此过程对业务无影响。

  • 云防火墙实例到期后如果未及时续费,NAT防火墙将被自动释放,同时流量路由会切换至原始的内网访问公网的路由,切换过程可能会造成业务短暂中断。

    建议您开启自动续费或者提前续费,以确保云防火墙服务可用,具体操作,请参见续费说明

  • 如果您的NAT防火墙在2023年09月01日之前创建,则NAT防火墙对连接到相同二元组(目的IP、目的端口)的所有网络连接的防护带宽上限为20 Mbps。其他情况下创建的NAT防火墙不存在20 Mbps的防护带宽限制。

    如果您需要提升NAT防火墙的防护带宽上限,建议您删除并重新创建NAT防火墙。

使用流程

您可以参考以下NAT防火墙的使用流程图,帮助您更好地使用NAT防火墙。

说明

云防火墙默认提供了创建NAT防火墙的授权规格,如果默认的授权规格不满足需求,您需要购买NAT防火墙授权规格。更多信息,请参见包年包月

image

前提条件

  • 已开通云防火墙包年包月版(高级版、企业版和旗舰版),并且购买了足够数量的NAT防火墙授权数。具体操作,请参见购买云防火墙服务

  • 已创建NAT网关,并且NAT网关满足以下条件:

    • NAT网关所在的地域支持开通NAT防火墙。NAT防火墙支持的地域,请参见支持的地域

    • NAT网关已至少绑定1个EIP,并且NAT网关绑定的EIP不超过10个。相关内容,请参见创建和管理公网NAT网关实例

    • NAT网关已配置了SNAT条目,并且不存在DNAT条目。相关内容,请参见创建和管理SNAT条目

      如果NAT网关存在DNAT条目,您需要先删除DNAT条目,才可以开启NAT防火墙。具体操作,请参见创建和管理DNAT条目

    • NAT网关所在的VPC支持VPC高级功能。相关内容,请参见VPC高级功能

    • NAT网关所在的VPC已配置了0.0.0.0指向NAT网关的路由条目。相关内容,请参见创建和管理路由表

    • NAT网关所在的VPC能够分配至少/28网段的子网段。

创建NAT防火墙

您可以参考以下内容创建NAT防火墙,一个NAT网关实例对应一个NAT防火墙。

注意事项

  • 开启NAT防火墙后,NAT网关中的EIP和SNAT条目约需要30分钟同步到NAT防火墙。同步完成前,EIP和SNAT条目不会生效。

  • 开启NAT防火墙后,请勿变更NAT防火墙所在交换机的路由或者下一跳为NAT防火墙的路由,否则可能会导致业务流量中断。

操作步骤

  1. 登录云防火墙控制台在左侧导航栏,单击防火墙开关

  2. 单击NAT防火墙页签,在目标NAT网关的操作列单击创建

  3. 在创建NAT防火墙面板,配置NAT防火墙信息,然后单击确定

    配置项

    说明

    名称

    自定义NAT防火墙的名称。

    新下一跳

    选中复选框,表示允许主机私网IP访问流量的下一跳指向NAT防火墙。

    image.png

    交换机

    创建NAT防火墙的交换机,支持自动模式手动模式

    • 自动模式:由云防火墙自动创建一个交换机,并绑定自定义路由表。

    • 手动模式:选择已手动创建好的交换机。如果您还未创建交换机,可单击前往 VPC 控制台手动创建交换机,进入VPC控制台创建交换机后再绑定到NAT防火墙。手动创建交换机和绑定交换机的具体操作,请参见创建和管理交换机

    重要

    手动创建交换机时,确保交换机满足以下要求:

    • 交换机与NAT防火墙处于同一个VPC。

    • 交换机与NAT网关处于同一个可用区。

    • 交换机的剩余可用IP数大于NAT网关的SNAT EIP数。

    • 交换机未接入ECS、RDS、SLB等云资源。

    • 交换机的路由表中未添加自定义路由条目。

    NAT网关公网暴露控制策略

    可选配置。您可以单击前往编辑访问控制策略,修改访问控制策略。具体操作,请参见NAT边界

    引擎模式

    选择访问控制策略的防护模式。

    • 宽松模式:该模式下,针对应用和域名的访问控制策略在遇到未识别应用或域名的流量时,将会放行流量,以优先保证业务。

    • 严格模式:该模式下,针对应用和域名的访问控制策略在遇到未识别应用或域名的流量时,将会转交流量给后续策略继续匹配。如果有拒绝策略命中未识别流量,未识别流量将被拦截。

    启用状态

    开启NAT防火墙开关。

    开启后,主机访问流量的下一跳才能切换到云防火墙,云防火墙才能防护访问流量。

后续操作

创建NAT防火墙后,您可以为NAT防火墙设置访问控制策略、查看私网访问日志等,以便您更好地管控私网资产和互联网之间的流量访问。

配置访问控制策略

进入防火墙开关 > NAT防火墙页面,在目标NAT防火墙的操作列,单击image.png图标后选择访问控制

您可以在跳转后的页面创建NAT边界访问控制策略,具体操作,请参见NAT边界

查询审计日志

进入防火墙开关 > NAT防火墙页面,在目标NAT防火墙的操作列,单击image.png图标后选择日志审计

您可以在跳转后的页面查询私网访问互联网的流量日志。更多信息,请参见日志审计

查看流量分析

进入防火墙开关 > NAT防火墙页面,在目标NAT防火墙的操作列,单击image.png图标后选择流量分析

您可以在跳转后的页面查看NAT网关主动访问互联网的情况。更多信息,请参见主动外联

查看NAT私网流量统计

在左侧导航栏,单击概览,然后在概览页面右上角单击更多,查看NAT私网流量的处理能力、近期流量峰值、NAT防火墙授权数使用情况。

image.png

查看NAT防火墙的交换机列表

进入防火墙开关 > NAT防火墙页面,在NAT防火墙列表右上角,单击防火墙交换机列表

删除NAT防火墙

警告

删除NAT防火墙过程中,NAT防火墙会做NAT路由切换,会出现10秒左右的长连接闪断,建议您在业务低峰期删除。

如果您不再需要某些NAT防火墙,可以进入防火墙开关 > NAT防火墙页面,在NAT防火墙的操作列,单击image.png图标后选择删除,删除NAT防火墙。

相关文档

阿里云首页 云防火墙 相关技术圈