VPC边界防火墙概述

本文介绍云防火墙VPC边界防火墙的基本概念和应用场景。

什么是VPC边界防火墙

VPC边界防火墙帮助您检测和管控专有网络VPC(Virtual Private Cloud)之间、VPC和本地数据中心之间的流量。如果VPC同属于一个云企业网,或者已通过高速通道连接,您可以创建VPC边界防火墙,实现控制VPC之间、VPC与本地数据之间的访问流量。

同时,VPC边界防火墙支持跨账号管理。例如,使用账号A创建了云企业网和VPC_1,使用账号B创建了VPC_2,VPC_1和VPC_2通过账号A的云企业网实现网络互通,此时您可以使用账号A购买云防火墙企业版或者旗舰版,用于防护VPC_1和VPC_2的流量。

防护原理

关于VPC边界防火墙的防护原理图,请参见:

防护范围

目前云防火墙为您提供三种类型的VPC边界防火墙。您可以根据您的组网架构选择合适的VPC边界防火墙。

VPC边界防火墙类型

应用场景

操作指导

企业版转发路由器的VPC边界防火墙

支持防护:

  • 同地域多个专有网络VPC(Virtual Private Cloud)互访的流量

  • 通过企业版转发路由器TR(Transit Router)实现跨地域多个VPC互访的流量

  • VPC和边界路由器VBR(Virtual Border Router)互访的流量(即VPC和本地数据中心IDC互访的流量)

  • VPC和云连接网CCN(Cloud Connect Network)互访的流量

  • 多个VBR互访的流量

  • CCN和VBR互访的流量

  • VPC和公网VPN互访的流量

不支持防护:多个CCN互访的流量

配置企业版转发路由器的VPC边界防火墙

基础版转发路由器的VPC边界防火墙

支持防护:

  • 同地域多个专有网络VPC(Virtual Private Cloud)互访的流量

  • 通过基础版转发路由器TR(Transit Router)实现跨地域多个VPC互访的流量

  • VPC和边界路由器VBR(Virtual Border Router)互访的流量(即VPC和本地数据中心IDC互访的流量)

  • VPC和云连接网CCN(Cloud Connect Network)互访的流量

不支持防护:

  • 多个VBR互访的流量

  • CCN和VBR互访的流量

  • 多个CCN互访的流量

配置基础版转发路由器的VPC边界防火墙

高速通道VPC边界防火墙

支持防护:

  • 高速通道连接专有网络VPC(Virtual Private Cloud)模式下,同账号同地域多个VPC互访的流量

  • VPC对等连接模式下,同地域(包含同账号和跨账号)多个VPC互访的流量

不支持防护:

  • 高速通道连接专有网络VPC(Virtual Private Cloud)模式下,跨账号跨地域多个VPC互访的流量

  • VPC和边界路由器VBR(Virtual Border Router)互访的流量

说明

如果需要防护VPC跨地域、跨账号或VPC与VBR间的互访的流量,建议您改为云企业网组网。相关信息,请提交工单

配置高速通道VPC边界防火墙

防护规格

VPC边界防火墙的防护规格分为可防护的公网IP数量和公网流量处理能力。

防护规格

说明

云防火墙包年包月版(企业版、旗舰版)

云防火墙按量版

VPC防火墙实例数

可创建的VPC边界防火墙数量。

取决于您创建的VPC边界防火墙数量和购买的VPC流量处理能力。如果配额不足,您可以升级规格。具体操作,请参见配置企业版转发路由器的VPC边界防火墙

不同云防火墙版本拥有配额不同。具体内容,请参见包年包月

根据实际开启防护的实例数和处理的总流量计费,不存在配额限制。详细计费内容,请参见按量付费

VPC流量处理能力

可防护的VPC间的总流量峰值。

查看资产的防护情况及防护规格占用数

您可以在VPC边界防火墙页面查看当前账号下被防护的资产情况。

  1. 登录云防火墙控制台。在左侧导航栏,单击防火墙开关

  2. VPC边界防火墙页签,您可以查看当前账号下VPC防火墙未创建数、已创建数和可用授权数;网元总数、未保护数和已保护数。

    当版本默认的可用授权数(可防护VPC边界防火墙实例数)占用满时,您可以单击升级授权数根据实际需求进行授权数扩展。关于各版本支持的可防护VPC边界防火墙实例数,请参见包年包月

    image.png

  3. 单击VPC防火墙区域的查看图标,查看云企业网(企业版)、云企业网(基础版)和高速通道VPC防火墙实例未创建数、已创建数。

  4. 单击网元保护数区域的查看图标,查看网元VPC、VBR、TR、VPN的总数以及未保护和已保护数。

其中,数据统计逻辑如下:

  • 云企业网(企业版)

    • 网元未保护数:表示未接入VPC边界防火墙保护的网元数,包含VPC、VBR、TR、VPN(不含手动模式下的网元数)。

    • 网元已保护数:表示已接入VPC边界防火墙保护的网元数,包含VPC、VBR、TR、VPN(不含手动模式下的网元数)。

    • 可用授权数:已开启VPC边界防火墙实例数,以单个CEN-TR计算。

  • 云企业网(基础版)

    • 网元未保护数:未接入VPC边界防火墙保护的VPC数。

    • 网元已保护数:已接入VPC边界防火墙保护的VPC数。

    • 可用授权数:已开启VPC边界防火墙实例数,以单个VPC计算。

  • 高速通道

    • 网元未保护数:未接入VPC边界防火墙保护的VPC数。

    • 网元已保护数:已接入VPC边界防火墙的VPC数。

    • 可用授权数:已开启VPC边界防火墙实例数,以每对VPC(即VPC实例和对端VPC实例)计算。