VPC 边界防火墙通过云联网(CCN)自定义路由实现流量接入,自定义路由模式下,开启防火墙开关后该实例流量不会自动接入防护,需要当前云联网实例的控制台配置引流至云防火墙。
云联网实例接入云防火墙
步骤1:创建自定义路由模式实例
步骤2:配置引流路由
当前操作目的是将用户需要防护的业务 云联网实例 通过防火墙网关引流至云防火墙。
1. 前往打开 VPC 边界防火墙时选择的云联网实例的控制台,查看自定义路由模式关联的云联网实例详情。
2. 确认防火墙引流 VPC 和相关路由表已经创建,若未创建请等待实例创建完成或 提交工单 联系我们。
3. 查看默认路由表页面,确定需要接入的业务 VPC 及防火墙引流 VPC。
说明:
本文以北京业务 VPC:VPC-A;重庆业务 VPC:VPC-B;北京地域防火墙引流 VPC:VPC-BJFW 举例来演示如何接入。
4. 前往私有网络 > 路由表 页面,选择需要接入的防火墙引流 VPC,可以看到包含“防火墙 VPC 专用路由表_请勿删改”和“default”在内的路由表。选择“default”路由表编辑路由策略。
5. 单击新增路由策略,将业务 VPC 下一跳引流至防火墙。
目的端输入业务 VPC 的 CIDR,下一跳类型选择网关负载均衡器终端节点,下一跳选择防火墙网关 ID,备注可以自由填写。
说明:
若有提示“指定 CIDR 形成 ECMP”时,需要先在默认路由表中停用相关业务路由。
6. 将新增路由发布到云联网,详情请参见 管理路由策略。发布后可以在对应云联网中的默认路由表看到指定路由策略。
说明:
因新路由策略与原路由策略冲突,原路由条目会失效,可以忽略。
步骤3:建立业务 VPC 互访路由表
当前操作目的是为了将防火墙网络和用户的业务网络打通,实现网络互访。
1. 在 云联网页面,分别为每个引流至防火墙的业务 VPC 建立路由表。
2. 调整路由接收策略。在各个 VPC 的专属路由表中的路由接收策略中单击添加网络实例,将路由表自身所属 VPC 实例和互通 VPC 实例添加至路由表中。
注意:
添加网络实例务必分为两个步骤,先添加自身 VPC 实例和不经过防火墙防护的 VPC 实例;再添加防火墙引流专用 VPC 实例。
例如:假设 VPC-C 是不需要接入防火墙实例的业务 VPC,则在 VPC-A 的路由表中应先添加 VPC-A,VPC-C 两个实例,添加成功后,重复上述操作再添加 VPC-BJFW 一个实例。
3. 检查各个 VPC 的专属路由表中路由条目是否符合预期。
4. 绑定网络实例。各个 VPC 的专属路由表的绑定实例单击绑定网络实例,将各个 VPC 专属路由表绑定至其对应的 VPC 实例,操作完成后网络会引流至防火墙。
注意:
请务必确认路由无误后再绑定路由表,绑定后会立即生效。
步骤4:验证防火墙是否正常工作
1. 参考 日志审计 查看是否有流量日志。
2. 参考 日志审计 查看入侵防御是否正常。
3. 配置内网间规则,检查是否正常命中。
云联网实例取消接入云防火墙
注意:
请务必确认云联网实例取消接入云防火墙后,再关闭对应 VPC 边界防火墙开关,否则将会造成网络中断。
1. 前往需要关闭 VPC 边界防火墙的云联网实例的控制台,查看自定义路由模式防护对象关联的云联网实例详情。
2. 除了防火墙专用 VPC 之外,将所有网络实例绑定到接入云防火墙之前使用的路由表中。
2.1 选择接入云防火墙之前使用的路由表,一般为_default_rtb表。
2.2 选择除防火墙专用之外的所有实例。
2.3 确认路由,完成取消接入云防火墙。
3. 检查网络正常后,在云防火墙控制台关闭当前云联网实例对应的防火墙开关。
共享 NAT 网关统一互联网出口配置指引
云防火墙支持 VPC 实例通过云联网(CCN)将互联网流量路由至标准型 NAT 网关所在的 VPC ,实现:
1. 统一公网出口:多个业务 VPC 共享同一 NAT 网关出口 IP,解决 IP 分散管理问题。
2. 安全流量管控:跨 VPC 流量经 CCN 转发时,由 VPC 边界防火墙执行防护。
启用该功能需要已创建云联网实例(CCN)并关联所有参与 VPC。出口 NAT 网关所属的 VPC 其他实例访问互联网的流量无法通过 CCN 引流到防火墙进行防护,建议将 NAT 网关添加到单独 VPC 中进行管理。
配置示例
本文以上海业务 VPC:VPC-A;北京业务 VPC:VPC-B ;VPC-A 的出口公网 NAT 网关:NAT-A 举例来演示如何接入,其中 VPC-A 与 VPC-B 通过 CCN-A 进行连接。
1. 在私有网络 > 路由表 页面,进入 VPC-A 默认路由表,添加目的端为 0.0.0.0/0 、下一跳指向 NAT-A 的路由,并选择发布到云联网。
2. 在私有网络 > 云联网 页面,进入 CCN-A 默认路由表,启用 0.0.0.0/0 到 VPC-A 的路由。
3. 在云防火墙中开启对应 CCN-A 实例的 VPC 边界防火墙开关,具体操作请参见 VPC 边界防火墙,开启后云防火墙将自动创建防火墙专用 VPC。
4. 在私有网络 > 路由表 页面,进入 NAT 网关所在地域的防火墙专用 VPC 默认路由表,添加目的端为0.0.0.0/0、下一跳指向网关负载均衡器终端节点的路由策略。
5. 将上一步骤中创建的路由策略发布到云联网。
6. 在私有网络 > 云联网 页面中进入 CCN-A,新建路由表 rtb-A,并在 rtb-A 添加路由接收策略。在路由条件中优先添加不需要防护东西向流量的 VPC 实例,最后再添加防火墙专用 VPC,并设置传播行为为允许。
7. 单击确定,添加成功。
8. 在自定义路由表 rtb-A 中检查路由条目状态,确认 0.0.0.0/0 到防火墙专用 VPC 的路径已打通。
9. 检查 VPC-A 中自动生成的路由表 system-auto-for-nat-ccn,禁用其中 0.0.0.0/0 指向云联网的路由。
10. 在私有网络 > 云联网 页面的 CCN-A 默认路由表中,将需共享出口的业务 VPC 实例(如 VPC-B)与 NAT-A 所在 VPC-A 绑定,完成流量调度配置。
11. 在 VPC-B 内发起互联网访问请求,同时检查云防火墙控制台的流量日志与 NAT-A 的 SNAT 转换记录,确认流量经防火墙清洗且源 IP 统一为 NAT-A 公网地址,即说明配置已生效。
