VPC 边界防火墙支持通过云联网(CCN)的多路由表和策略路由两种接入模式实现流量牵引。在手动接入模式下,开启防火墙开关后,云联网实例的流量不会自动接入防护。您需要前往该云联网实例的控制台,根据所选模式进行手动配置。
多路由表接入模式
本文将以一个跨地域业务防护场景为例,演示如何将不同地域的业务 VPC 流量接入并引流至位于中心地域的防火墙 VPC 进行统一防护。具体网络规划如下:
业务 VPC-A:部署于北京地域,承载北京地区的业务流量。
业务 VPC-B:部署于重庆地域,承载重庆地区的业务流量。
防火墙 VPC-BJFW:部署于北京地域,作为中心防护节点,用于接收并检测来自业务 VPC 的流量。
步骤一:选择手动接入模式
步骤二:配置引流策略
1. 手动接入方式选择多路由表。
2. 选择引流私有网络的创建方式:
暂不创建:至少需要在一个地域创建引流私有网络,请选择自动分配或自定义。
自动选择:云防火墙会自动探测空闲的 26 段 VPC 网段用于防火墙引流。
自定义:您可以自定义供防火墙使用的私有网络网段,请注意必须为 26 网段(如 10.0.0.0/26)。
3. 单击创建,系统将在当前云联网实例关联的私有网络所属地域创建用于接入的私有网络,预计需要 30秒,请耐心等待。
步骤三:确认防火墙引流 VPC 是否创建成功
1. 登录 私有网络控制台,在左侧导航栏中,单击云联网。
2. 在云联网实例列表中,单击目标实例的 ID/名称。
3. 在关联实例页签中,检查是否存在名称为防火墙专用VPC_请勿删改的 VPC 实例,且其状态为已连接。这表示防火墙所需的引流 VPC 已成功创建。
步骤四:配置引流路由
当前操作目的是将用户需要防护的业务云联网实例通过防火墙网关引流至云防火墙。
1. 前往打开 VPC 边界防火墙时选择的云联网实例的控制台,查看多路由表模式关联的云联网实例详情。
2. 确认防火墙引流 VPC 和相关路由表已经创建,若未创建请等待实例创建完成或 提交工单 联系我们。
3. 查看默认路由表页面,确定需要接入的业务 VPC 及防火墙引流 VPC。
4. 前往私有网络 > 路由表 > 路由表 页面,选择需要接入的防火墙引流 VPC,可以看到包含“防火墙 VPC 专用路由表_请勿删改”和“default”在内的路由表。选择“default”路由表编辑路由策略。
5. 单击新增路由策略,将业务 VPC 下一跳引流至防火墙。
目的端输入业务 VPC 的 CIDR,下一跳类型选择网关负载均衡器终端节点,下一跳选择防火墙网关 ID,备注可以自由填写。
说明:
若有提示“指定 CIDR 形成 ECMP”时,需要先在默认路由表中停用相关业务路由。
6. 将新增路由发布到云联网,详情请参见 管理路由策略。发布后可以在对应云联网中的默认路由表看到指定路由策略。
说明:
因新路由策略与原路由策略冲突,原路由条目会失效,可以忽略。
步骤五:创建 VPC 间互访路由表并绑定实例
当前操作目的是为了将防火墙网络和用户的业务网络打通,实现网络互访。
1. 在 云联网页面,分别为每个引流至防火墙的业务 VPC 建立路由表。
2. 在每个 VPC 的专属路由表中,调整其路由接收策略:
a. 先将路由表自身所属的 VPC 实例,以及所有不经过防火墙防护、需要直接互通的 VPC 实例添加至路由表。
b. 完成上一步后,再次单击添加网络实例,将防火墙引流专用的 VPC 实例(如 VPC-BJFW)添加至同一路由表。
3. 检查各个 VPC 的专属路由表中路由条目是否符合预期。
4. 在每个 VPC 的专属路由表操作栏中,单击绑定网络实例,将该路由表绑定至其对应的 VPC 实例。完成此操作后,网络流量将被成功引流至防火墙。
注意:
请务必确认路由无误后再绑定路由表,绑定后会立即生效。
步骤六:验证 VPC 是否连接成功
1. 参考 日志审计 查看是否有流量日志。
2. 参考 日志审计 查看入侵防御是否正常。
3. 配置内网间规则,检查是否正常命中。
云联网实例取消接入云防火墙(多路由表)
注意:
请务必确认云联网实例取消接入云防火墙后,再关闭对应 VPC 边界防火墙开关,否则将会造成网络中断。
1. 前往需要关闭 VPC 边界防火墙的云联网实例的控制台,查看多路由表模式防护对象关联的云联网实例详情。
2. 除了防火墙专用 VPC 之外,将所有网络实例绑定到接入云防火墙之前使用的路由表中。
2.1 选择接入云防火墙之前使用的路由表,一般为_default_rtb表。
2.2 选择除防火墙专用之外的所有实例。
2.3 进行路由确认,单击完成。
3. 检查网络正常后,在云防火墙控制台关闭当前云联网实例对应的防火墙开关。
策略路由接入模式
本文将以三个位于不同地域的 VPC 为例,演示如何通过云联网实现跨地域的 VPC 全互通,并将实例间流量牵引至云防火墙。具体规划如下:
VPC-A:部署于法兰克福地域,网段为 XX.A.0.0/XX。
VPC-B:部署于法兰克福地域,网段为 XX.B.0.0/XX。
VPC-C:部署于首尔地域,网段为 XX.C.0.0/XX。
注意:
手动接入模式下的策略路由接入方式,默认情况下不可用。若您想体验此功能,请向云防火墙 提交工单 申请。
在配置前,请确保您的云联网实例已支持策略路由功能。如果策略路由功能不可选,请向云联网 提交工单 申请开通后方可使用。
步骤一:选择手动接入模式
步骤二:配置引流策略
1. 手动接入方式选择策略路由。
2. 选择引流私有网络的创建方式:
暂不创建:至少需要在一个地域创建引流私有网络,请选择自动分配或自定义。
自动选择:云防火墙会自动探测空闲的 26 段 VPC 网段用于防火墙引流。
自定义:您可以自定义供防火墙使用的私有网络网段,请注意必须为 26 网段(如 10.0.0.0/26)。
3. 单击创建,系统将在当前云联网实例关联的私有网络所属地域创建用于接入的私有网络,预计需要 30秒,请耐心等待。
步骤三:确认防火墙引流 VPC 是否创建成功
1. 登录 私有网络控制台,在左侧导航栏中,单击云联网。
2. 在云联网实例列表中,单击目标实例的 ID/名称。
3. 在关联实例页签中,检查是否存在两个名称为防火墙专用VPC_请勿删改的 VPC 实例,一个所在地域为法兰克福、一个所在地域为首尔,且其状态为已连接。这表示防火墙所需的引流 VPC 已成功创建。
步骤四:开启同城引流
注意:
开通过程中可能引起对应 VPC 的 PaaS 服务会话连接中断,需依赖应用层实现长连接自动重连机制,以确保服务快速恢复。
步骤五:创建指向防火墙的下一跳
1. 在云联网实例详情页面,选择策略路由 > 下一跳,单击添加。
2. 根据您在 步骤二 中创建了引流 VPC 的地域,分别创建对应地域的下一跳。配置示例如下(以法兰克福地域为例):
参数名称 | 说明 |
地域 | 选择 法兰克福。 |
名称 | 填写易于识别的名称,如 法兰克福防火墙下一跳。 |
下一跳所属实例类型 | 选择 私有网络。 |
下一跳所属实例 ID | 选择对应地域的 防火墙专用VPC_请勿删改。 |
下一跳接入资源类型 | 选择 网关负载均衡终端节点。 |
下一跳接入资源 ID | 选择该引流 VPC 对应的终端节点 ID(名称通常包含 cfw-云防火墙引流使用终端)。 |
描述 | 填写下一跳的描述。 |
3. 确认无误后,单击确定。
4. 重复此步骤,为所有创建了引流 VPC 的地域均配置一个下一跳。
5. 以本文场景为例,最终将在法兰克福和首尔地域分别创建下一跳,具体如下:
步骤六:创建策略路由匹配规则
1. 在云联网实例详情页面,选择策略路由 > 匹配规则,单击添加。
2. 根据您的防护需求,为每一对需要互访的 VPC 网段创建双向规则。以下以防护 VPC-A (XX.A.0.0/XX) 与 VPC-B (XX.B.0.0/XX) 间流量为例,两者均在法兰克福:
规则1 (VPC-A 到 VPC-B)
配置项 | 设置值 |
优先级 | 1 (数字越小优先级越高) |
源实例类型 | 私有网络 |
源实例 ID | VPC-A |
源网段 | XX.A.0.0/XX |
目的网段 | XX.B.0.0/XX |
下一跳 ID | 选择法兰克福地域的下一跳 |
规则2 (VPC-B 到 VPC-A)
配置项 | 设置值 |
优先级 | 2 |
源实例类型 | 私有网络 |
源实例 ID | VPC-B |
源网段 | XX.B.0.0/XX |
目的网段 | XX.A.0.0/XX |
下一跳 ID | 选择同一个法兰克福地域的下一跳 |
说明:
跨地域引流:若两个 VPC 在不同地域,其流量的下一跳可以选择源或目的 VPC 所在地域的任一防火墙下一跳,但来回规则必须指向同一个下一跳。
同地域引流:
若两个 VPC 在同一地域,其流量的下一跳必须选择该地域的防火墙下一跳。
如果规则涉及同地域 VPC 间的流量,您必须向云联网 提交工单 申请开通 VPC 实例同城引流,否则这部分流量将不经过防火墙。开通过程中可能引起对应 VPC 的 PaaS 服务会话连接中断,需依赖应用层实现长连接自动重连机制,以确保服务快速恢复。
3. 确认无误后,单击确定。
4. 重复此步骤,为所有需要防护的 VPC 间流量对,均按此方式创建来回两条规则。
5. 以本文场景为例,本示例3个实例,每个实例接入一个网段,因此共6条规则,具体如下:
步骤七:验证 VPC 是否连接成功
1. 参考 日志审计 查看是否有流量日志。
2. 参考 日志审计 查看入侵防御是否正常。
3. 配置内网间规则,检查是否正常命中。
云联网实例取消接入云防火墙(策略路由)
注意:
请务必确认云联网实例取消接入云防火墙后,再关闭对应 VPC 边界防火墙开关,否则将会造成网络中断。
1. 删除 步骤四 中为了防火墙引流创建的所有策略路由匹配规则。
2. 删除 步骤三 中为了防火墙引流创建的所有策略路由下一跳。
3. 返回 云防火墙控制台,在 防火墙开关 > VPC 边界 页面,关闭该云联网实例的防火墙开关。系统将自动清理创建的引流 VPC 和终端节点。
