NAT防火墙
NAT(Network Address Translation)防火墙支持对私网IP访问公网的流量进行访问控制和防护,降低企业安全风险。本文介绍如何配置NAT防火墙。
功能介绍
NAT防火墙通过对私网IP访问公网的流量管控,限制内部网络对外部网络的访问,只允许指定的端口和协议通过,有效地保护企业内部网络的安全,防止信息泄漏和攻击。NAT防火墙支持一键开启和资产同步、私网到公网访问流量的访问控制策略配置、流量分析、日志审计等功能。
防护原理
对业务的影响
创建和删除NAT防火墙过程中,云防火墙会进行NAT路由切换,此时会出现10秒以内的长连接闪断,短连接无影响。
建议您在业务低峰期进行创建和删除操作。
说明NAT防火墙的创建时长与NAT网关绑定的EIP数量相关,每增加一个EIP,创建时长约增加2分钟。此过程对业务无影响。
云防火墙实例到期后如果未及时续费,NAT防火墙将被自动释放,同时流量路由会切换至原始的内网访问公网的路由,切换过程可能会造成业务短暂中断。
建议您开启自动续费或者提前续费,以确保云防火墙服务可用,具体操作,请参见续费说明。
如果您的NAT防火墙在2023年09月01日之前创建,则NAT防火墙对连接到相同二元组(目的IP、目的端口)的所有网络连接的防护带宽上限为20 Mbps。其他情况下创建的NAT防火墙不存在20 Mbps的防护带宽限制。
如果您需要提升NAT防火墙的防护带宽上限,建议您删除并重新创建NAT防火墙。
使用流程
您可以参考以下NAT防火墙的使用流程图,帮助您更好地使用NAT防火墙。
云防火墙默认提供了创建NAT防火墙的授权规格,如果默认的授权规格不满足需求,您需要购买NAT防火墙授权规格。更多信息,请参见包年包月。
前提条件
已开通云防火墙包年包月版(高级版、企业版和旗舰版),并且购买了足够数量的NAT防火墙授权数。具体操作,请参见购买云防火墙服务。
已创建NAT网关,并且NAT网关满足以下条件:
NAT网关所在的地域支持开通NAT防火墙。NAT防火墙支持的地域,请参见支持的地域。
NAT网关已至少绑定1个EIP,并且NAT网关绑定的EIP不超过10个。相关内容,请参见创建和管理公网NAT网关实例。
NAT网关已配置了SNAT条目,并且不存在DNAT条目。相关内容,请参见创建和管理SNAT条目。
如果NAT网关存在DNAT条目,您需要先删除DNAT条目,才可以开启NAT防火墙。具体操作,请参见创建和管理DNAT条目。
NAT网关所在的VPC支持VPC高级功能。相关内容,请参见VPC高级功能。
NAT网关所在的VPC已配置了0.0.0.0指向NAT网关的路由条目。相关内容,请参见创建和管理路由表。
NAT网关所在的VPC能够分配至少/28网段的子网段。
创建NAT防火墙
您可以参考以下内容创建NAT防火墙,一个NAT网关实例对应一个NAT防火墙。
注意事项
开启NAT防火墙后,NAT网关中的EIP和SNAT条目约需要30分钟同步到NAT防火墙。同步完成前,EIP和SNAT条目不会生效。
开启NAT防火墙后,请勿变更NAT防火墙所在交换机的路由或者下一跳为NAT防火墙的路由,否则可能会导致业务流量中断。
操作步骤
登录云防火墙控制台。在左侧导航栏,单击防火墙开关。
单击NAT防火墙页签,在目标NAT网关的操作列单击创建。
在创建NAT防火墙面板,配置NAT防火墙信息,然后单击确定。
配置项
说明
名称
自定义NAT防火墙的名称。
新下一跳
选中复选框,表示允许主机私网IP访问流量的下一跳指向NAT防火墙。
交换机
创建NAT防火墙的交换机,支持自动模式和手动模式。
自动模式:由云防火墙自动创建一个交换机,并绑定自定义路由表。
手动模式:选择已手动创建好的交换机。如果您还未创建交换机,可单击前往 VPC 控制台手动创建交换机,进入VPC控制台创建交换机后再绑定到NAT防火墙。手动创建交换机和绑定交换机的具体操作,请参见创建和管理交换机。
重要手动创建交换机时,确保交换机满足以下要求:
交换机与NAT防火墙处于同一个VPC。
交换机与NAT网关处于同一个可用区。
交换机的剩余可用IP数大于NAT网关的SNAT EIP数。
交换机未接入ECS、RDS、SLB等云资源。
交换机的路由表中未添加自定义路由条目。
NAT网关公网暴露控制策略
可选配置。您可以单击前往编辑访问控制策略,修改访问控制策略。具体操作,请参见NAT边界。
引擎模式
选择访问控制策略的防护模式。
宽松模式:该模式下,针对应用和域名的访问控制策略在遇到未识别应用或域名的流量时,将会放行流量,以优先保证业务。
严格模式:该模式下,针对应用和域名的访问控制策略在遇到未识别应用或域名的流量时,将会转交流量给后续策略继续匹配。如果有拒绝策略命中未识别流量,未识别流量将被拦截。
启用状态
开启NAT防火墙开关。
开启后,主机访问流量的下一跳才能切换到云防火墙,云防火墙才能防护访问流量。
后续操作
创建NAT防火墙后,您可以为NAT防火墙设置访问控制策略、查看私网访问日志等,以便您更好地管控私网资产和互联网之间的流量访问。
配置访问控制策略
进入页面,在目标NAT防火墙的操作列,单击
图标后选择访问控制。
您可以在跳转后的页面创建NAT边界访问控制策略,具体操作,请参见NAT边界。
查询审计日志
进入页面,在目标NAT防火墙的操作列,单击
图标后选择日志审计。
您可以在跳转后的页面查询私网访问互联网的流量日志。更多信息,请参见日志审计。
查看流量分析
进入页面,在目标NAT防火墙的操作列,单击图标后选择流量分析。
您可以在跳转后的页面查看NAT网关主动访问互联网的情况。更多信息,请参见主动外联。
查看NAT私网流量统计
在左侧导航栏,单击概览,然后在概览页面右上角单击更多,查看NAT私网流量的处理能力、近期流量峰值、NAT防火墙授权数使用情况。
查看NAT防火墙的交换机列表
进入页面,在NAT防火墙列表右上角,单击防火墙交换机列表。
删除NAT防火墙
删除NAT防火墙过程中,NAT防火墙会做NAT路由切换,会出现10秒左右的长连接闪断,建议您在业务低峰期删除。
如果您不再需要某些NAT防火墙,可以进入页面,在NAT防火墙的操作列,单击图标后选择删除,删除NAT防火墙。
