云防火墙提供互联网边界开关功能,在互联网边界开关页面,可自动探测您所持有的公网 IP 及关联的云上资产,并为您配置对应的防火墙开关。云防火墙开关支持一键启用防护,无需进行网络接入部署与路由策略配置,且无需安装任何镜像文件,为您提供即开即用的产品体验。
接入模式说明
当前互联网边界防火墙支持串行和旁路两种部署模式,可自行选择不同的模式开启防护。
串行防火墙(Inline Firewall)和旁路防火墙(Bypass Firewall)是两种不同的防火墙部署方式,它们在网络中的位置和工作原理有所不同。
工作原理/部署类型 | 串行防火墙 | 旁路防火墙 |
部署路径 | 串行防火墙是直接部署在网络数据流的路径上,所有经过的数据包都需要经过防火墙的检查和处理。 | 旁路防火墙不是直接部署在网络数据流的路径上,而是通过镜像或端口复制等技术,获取网络流量的副本进行分析和检测。 |
处理数据 | 由于串行防火墙需要处理所有经过的数据包,因此对性能和处理能力有较高要求。带宽超量后将按权重统一关闭部分 IP 的防火墙开关(不区分串行/旁路模式)。 | 旁路防火墙只需要处理镜像流量,对性能和处理能力的要求相对较低。它可以在不影响网络性能的前提下,提供安全监控、拦截和告警功能。 |
安全防护 | 串行防火墙可以对数据包进行深度检查和处理,提供较高的安全保障。它可以阻止恶意数据包进入网络,保护内部资源免受攻击。 | 旁路防火墙的安全防护能力相对有限,仅能防护 TCP、HTTP/HTTPS 和 TLS/SSL 协议的流量,且腾讯云内部公网互访流量由于网络架构特性无法受旁路防火墙防护。旁路的架构可以通过抢答机制等技术,基于发送 TCP 的 RST 报文间接阻断攻击者与目标系统的连接。 |
支持资产类型
互联网边界防火墙支持如下资产类型:
产品名称 | 互联网边界防火墙(串行模式) | 互联网边界防火墙(旁路模式) | |
| 支持 | 支持 | |
| 不支持 | 支持 | |
常规 BGP IP | 支持 | ||
| 精品 BGP IP | | 支持 |
| 加速 IP | | 支持 |
| 静态单线 IP | | 支持 |
| 高防 EIP | | 支持 |
| 互联网通道(专线) | 不支持 | 支持 |
三网 IP | | 不支持 | 不支持 |
负载均衡 CLB | 支持 | ||
| 域名化负载均衡 CLB | 支持 | |
| IPv6负载均衡 | 不支持 | 不支持 |
| 传统型负载均衡 | 不支持 | 支持 |
| 不支持 | 支持 | |
| 不支持 | 支持 | |
| 不支持 | 不支持 | |
说明:
由于网络架构限制,当前版本串行防火墙仅支持防护最新网络架构的弹性公网 IP,具体以控制台显示为准,如有疑问可向弹性公网 IP 提交工单。暂不支持防护公网 CLB 类型,如需防护建议切换为 EIP + 内网 CLB 的形式可支持防护。
开关操作
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关 > 互联网边界。
2. 在互联网边界页面,找到需要防护的资产,根据需求选择串行或旁路接入模式。
3. 开启防火墙开关,即可对该资产进行边界防护。
4. 开启串行防火墙过程预计耗时 1 分钟,对网络无影响。串行模式需要使用 私有连接 打通 VPC 到防火墙的网络。同一个 VPC 内的 EIP 首次启用串行防火墙时,需要创建新的私有连接的 终端节点 与引流内网 IP,串行防火墙规格内的私有连接无需额外付费,超量可能会产生一定费用,详情请参见 私有连接收费标准。后续相同 VPC 内串行防火墙开关无需再次创建私有连接。

说明:
开启开关后,该公网 IP 的所有流量将经过云防火墙,且访问控制、入侵防御、日志审计等功能将对该公网 IP 生效。
关闭开关后,该公网 IP 的所有流量将不会经过云防火墙。
新用户或未开启防护的资产开启防火墙开关时,默认使用串行防火墙;旧用户默认模式保持不变。
串行防火墙与旁路防火墙共享互联网边界防火墙带宽,带宽超量后将按权重统一关闭部分 IP 的防火墙开关(不区分串行/旁路模式)。
串行防火墙不再消耗通用实例配额,存量已消耗配额返还。
切换接入模式
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关 > 互联网边界。
2. 在互联网边界页面,当防火墙开关状态为关闭的情况下,选择想要切换的接入模式即可,对网络无影响。
3. 如果防火墙开关为开启状态,切换接入模式会触发串行防火墙开关的开启或关闭操作:
旁路切换到串行:防火墙自动关闭开关,创建私有连接后重新开启。
串行切换到旁路:防火墙自动关闭开关后重新开启。
4. 也可批量勾选需要进行切换的防火墙开关,单击切换模式。
5. 选择需要切换的接入模式,单击确定。如果选择串行模式,可选择是否需要自动选择子网与内网 IP 创建私有连接。

防火墙设置
带宽配置
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关页面,单击防火墙设置。
2. 在带宽配置 > 南北向带宽分配 > 南北向带宽分配情况区域,可查看互联网边界防火墙可用带宽。
3. 互联网边界防火墙带宽不可直接编辑,计算规则如下:
互联网边界防火墙可用带宽 = 南北向总带宽 − NAT 边界(集群模式)已分配带宽 − NAT 边界(主备模式)已分配带宽
如需调整,可减少 NAT 边界防火墙开关(集群模式)或(主备模式)的带宽,详情请参见 NAT 边界防火墙开关(集群模式)、NAT 边界防火墙开关(主备模式)。
4. 单击扩容可加购南北向带宽,详情请参见 购买方式。
资产防护设置
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关页面,单击防火墙设置。
2. 在功能配置 > 互联网边界开关设置 > 资产防护设置区域,可对互联网边界防火墙进行资产防护设置:
新资产自动开启:开启后在防护公网地址配额允许的情况下,对于新增的公网地址资产,自动开启互联网边界开关。
默认流量模式:可选旁路防火墙优先或串行防火墙优先,默认为串行防火墙优先;当串行模式开启失败时,系统会自动尝试旁路模式。
自动创建私有连接:开启后,当新增资产自动开启开关需要创建私有连接时,防火墙会自动从现有子网和内网 IP 中选择并创建。
防火墙超量处置
当流量超过互联网边界防火墙带宽后,将会触发 Bypass 策略。系统会按权重自动关闭部分防火墙开关,使流量下降至带宽规格内;当流量恢复后会自动打开开关。
超量影响
互联网边界防火墙的带宽超负荷不会导致客户业务流量丢包或影响流量速率,但将无法提供防护功能。
自2024年09月25日起,业务带宽超过互联网边界防火墙带宽100%时,将采取以下措施:
关闭部分互联网边界防火墙开关,将一部分流量 Bypass 转发,只防护带宽规格的流量。
串行和旁路模式处置方法一致,关闭部分开关以限制流量。
支持配置防火墙开关权重,设置自动关闭防火墙开关的优先级。
权重机制
权重范围:0 - 100(默认为1),权重值越大,超量时越优先被关闭。
限流机制:实时带宽 > 购买规格时,系统优先自动关闭高权重开关(权重相同则按峰值带宽降序关闭),直至实时带宽降至购买规格内。
恢复机制:实时带宽 ≤ 购买规格时,系统优先自动开启高权重开关(权重相同则按峰值带宽降序开启),自动开启防火墙开关。
配置权重
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关页面,单击防火墙设置。
2. 在功能配置 > 互联网边界开关设置 > 防火墙超量处置配置区域,可直接对防护对象的权重进行编辑。
3. 也可单击编辑权重,选择防护对象,批量编辑开关权重,单击确定保存。
状态监控
您可以通过控制台中的两个主要面板,全面监控防火墙的防护状态与资源使用情况。
资产防护概况
在资产防护概况面板,可快速掌握整体防护态势并进行资源管理。该面板展示当前未防护与已防护的资产数量,公网 IP 防护额度,以及近7天互联网边界峰值带宽。
单击一键开启防护,可为所有支持的公网 IP 批量启用防火墙。
单击调整带宽,可查看并调整带宽分配,详情请参见 带宽配置。
若资源不足,单击扩容即可跳转至购买页面进行配额扩充,详情请参见 购买方式。
带宽用量明细
带宽用量明细面板为您提供基于时间和维度的精细化流量监控与分析。

单击查看监控,可实时查看并监控基于公网 IP 的带宽情况,并进行扩容或关闭部分开关等操作。
说明:
峰值带宽指上行和下行的最大值,即如果购买100M 带宽,那么云防火墙能够同时处理上行100M 和下行100M。

同步资产
后台每 10 分钟轮询一次用户资产信息,因此当用户资产规模在此间隔内发生变化,但尚未被后台同步时,可在列表上方,单击同步资产,及时调用后台接口重新读取并同步用户的资产信息与数据。
当新增的资产没有出现在防火墙开关列表时,可在列表上方,单击同步资产尝试同步。
查看规则、告警或日志
除了在资产列表开启防火墙开关,还可执行以下其他操作,主要包括查看资产关联的规则、告警和日志。
查看规则:在资产列表中,单击操作列的查看规则,将跳转到资产所关联的规则页面。
查看告警:在资产列表中,单击操作列的更多 > 查看告警,选择具体的事件类型,将跳转到告警中心相应的事件页面。
查看日志:在资产列表中,单击操作列的更多 > 查看日志,选择具体的日志类型,将跳转到相应的日志页面。
相关信息
如需对内网资产进行流量管控与安全防护,或基于 SNAT、DNAT 进行的网络流量转发,可参见 NAT 边界防火墙开关(集群模式)、NAT 边界防火墙开关(主备模式) 进行操作。
如需自动探测 VPC 信息与互通关系,并在每一对互通的 VPC 间,建立云防火墙开关,可参见 VPC 边界防火墙开关(集群模式)、VPC 边界防火墙开关(主备模式) 进行操作。
如遇到互联网边界防火墙相关问题,可参见 防火墙相关 文档。