当您需要对VPC之间互通的流量进行防护时,可以使用VPC边界云防火墙。转发路由器现已支持原生集成云防火墙,本文以在2个VPC之间添加边界防火墙为例,为您介绍配置方法。
场景示例
如上图所示,假设您在华东1(杭州)地域创建了2个专有网络VPC,名称分别为VPC1和VPC2,2个VPC通过转发路由器实现网络互通。为管控和过滤2个VPC之间互访的流量,您可以在转发路由器TR上创建云防火墙并配置引流策略,实现VPC1和VPC2之间互访流量的安全防护。
创建云防火墙时,有自动引流和手动引流2种模式:
自动引流模式下,您可以结合自身业务情况创建网络实例级别引流场景,VPC边界防火墙会根据引流场景自动在企业版转发路由器上配置路由,并自动创建VPC边界防火墙弹性网卡完成流量牵引。
手动引流模式下,您需要结合自身业务手动在企业版转发路由器上创建VPC边界防火墙弹性网卡并配置路由,将流量牵引至VPC边界防火墙弹性网卡。
2种模式对业务的影响如下:
自动引流模式下,开启和关闭VPC边界防火墙,预计约需要5~30分钟(取决于路由条目数),对业务无影响。
手动引流模式下,开启和关闭VPC边界防火墙,业务影响时间不定,取决于切流方式。
本文以自动引流方式为例进行说明,如果您要使用手动引流模式,请参考云防火墙产品文档:操作步骤。
使用限制
开启VPC边界防火墙时,需要新增一个命名为Cloud_Firewall_VPC的VPC实例,请确保您账号下有足够的可创建的VPC数。关于VPC的数量限制,请参见限制与配额。
自动引流模式不支持以下场景:
企业版转发路由器的路由表内存在静态路由(100.64.0.0/10网段及其子网段的静态路由除外)
VPC实例、VBR实例、TR实例同时存在多个引流场景
将基础版转发路由器添加到引流模式
有路由冲突的转发路由器
VPC的前缀列表功能
VPC边界防火墙不支持防护VPN网关(如IPsec-VPN、SSL VPN)直接连接到VPC内的场景;但支持防护IPsec-VPN绑定到转发路由器的场景,更多内容,请参见IPsec-VPN应用场景(绑定转发路由器)。
VPC边界防火墙不支持防护IPv6流量。
确保您网络资源所在的地域都是VPC边界防火墙支持的地域,否则会导致无法开启VPC边界防火墙。具体信息,请参见支持的地域。
准备工作
您已根据示例创建了VPC资源,资源规划如下:
配置项
VPC1
VPC2
地域
华东1(杭州)
华东1(杭州)
网段
10.0.0.0/16
172.16.0.0/16
交换机1
位于可用区J
网段为10.0.0.0/24
位于可用区J
网段为172.16.0.0/24
交换机2
位于可用区K
网段为10.0.1.0/24
位于可用区K
172.16.1.0/24
您已经根据同地域VPC互通教程连通了2个VPC。
您已购买云防火墙服务,并已经授权云防火墙访问云资源。
开始配置
第一步:创建前检查
- 登录云企业网管理控制台。
- 在云企业网实例页面,找到目标云企业网实例,单击目标实例ID。
在页签,找到目标地域的转发路由器实例,在安全防护列下,将鼠标移动到安全防护图标
,在冒出的气泡提示中,单击开启云防火墙。
在弹出的创建VPC防火墙界面中,选择自动引流模式,并单击一键开启检查。
如果检查不通过:
登录云防火墙控制台,在左侧导航栏,单击防火墙开关。。
在防火墙开关页面,单击VPC边界防火墙。
在VPC边界防火墙页签,单击云企业网(企业版)。
如果在资产列表中没有需要开启保护的资产,您可以单击同步资产,同步当前阿里云账号及其成员账号的资产信息。
重要资产同步时间约5-10分钟,请耐心等待。
其他提示,请参考提示信息进行处理。
如果检查通过,请单击下一步,进入创建防火墙实例页面。
第二步:创建防火墙实例
在创建防火墙实例页面中,配置项填写如下:
防火墙名称:
cfw1防火墙所使用VPC网段:
192.168.0.0/27其他配置项保持默认。
单击开始创建,出现如图所示界面。请您耐心等待,预计需要十几分钟:
说明在本步中,系统会自动在后台新建1个云防火墙VPC,并在此VPC中创建云防火墙实例。该VPC只用于承载云防火墙,用户无法进行配置或编辑,且在VPC控制台不可见。
创建完成,单击下一步,进入引流配置页面。
第三步:开启引流
在引流配置页面,填写如下配置项,最后单击确定:
模板名称:
模板1请选择场景类型:选择点到点
请选择引流对象:
第一行:引流实例类型选择VPC,引流实例ID选择
VPC1第二行:引流实例类型选择VPC,引流实例ID选择
VPC2
创建引流过程时间较长,预计在30分钟内完成引流配置。完成后,即可实现对VPC1和VPC2之间互访流量的防护。
引流场景配置完成后,系统会自动创建如下资源:
在转发路由器中创建1个云防火墙VPC连接(名称为Cloud_Firewall_Attachment),用于转发路由器连通云防火墙。
在转发路由器中新建3张路由表,详情如下。
路由表名称
说明
关联转发
路由学习
Cloud_Firewall_ROUTE_TABLE
云防火墙VPC的流量进入到转发路由器后,查询本路由表。
绑定云防火墙VPC连接(Cloud_Firewall_Attachment)
VPC1和VPC2
请勿编辑_Please_Do_Not_Edit_Cloud_Firewall_Route_Table
VPC1的流量进入到转发路由器后,查询本路由表。
路由表中存在8条路由条目,其中4条来自于转发路由器自动学习。另外4条为系统自动添加的静态路由,比自动学习的路由条目网段更加明细,目的为把来自VPC1的流量牵引至云防火墙VPC。
绑定VPC1连接
VPC1和VPC2
请勿编辑_Please_Do_Not_Edit_Cloud_Firewall_Route_Table
VPC2的流量进入到转发路由器后,查询本路由表。
路由表中存在8条路由条目,其中4条来自于转发路由器自动学习。另外4条为系统自动添加的静态路由,比自动学习的路由条目网段更加明细,目的为把来自VPC2的流量牵引至云防火墙VPC。
绑定VPC2连接
VPC1和VPC2
警告请不要手动修改转发路由器中自动创建的路由表和其中的路由条目,否则可能会导致流量中断影响业务。
后续操作
开启VPC边界防火墙后,您可以设置VPC边界防火墙策略,控制VPC之间的访问活动。具体操作,请参见VPC边界防火墙访问策略。
开启VPC边界防火墙后,您可以通过VPC互访功能,查看VPC之间的相互访问流量。具体操作,请参见VPC互访。
开启VPC边界防火墙后,您可以通过VPC防护功能,查看云防火墙拦截到的VPC之间的异常事件信息。具体操作,请参见查看VPC拦截事件。
常见问题
如何修改引流场景?
在云企业网实例详情页面,找到目标转发路由器,然后单击安全防护图标,进入云防火墙控制台。
接下来的步骤需要在云防火墙控制台操作,请参见更改自动引流模式的配置。
如何编辑或删除VPC边界防火墙?
在云企业网实例详情页面,找到目标转发路由器,然后单击安全防护图标,进入云防火墙控制台。
接下来的步骤需要在云防火墙控制台操作,请参见编辑或删除VPC边界防火墙。
云防火墙如何计费?
费用由云防火墙产品收取,详情见云防火墙计费概述。