You need to enable JavaScript to run this app.
导航
VPC与VPC之间流量访问控制(自动引流配置)
最近更新时间:2024.09.29 15:54:10首次发布时间:2023.11.24 20:34:34

本文介绍通过云防火墙自动引流配置,帮助您完成VPC与VPC之间的流量访问控制。

注意

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。


场景介绍
  • 完成VPC1、VPC2、VPC3之间流量引流至云防火墙。

  • 配置访问控制策略:VPC1网段可以访问VPC2。

  • 配置访问控制策略:VPC2 网段可以访问VPC3。

  • 配置访问控制策略其余访问全部阻断。

    资源类型

    所属地域

    VPC/专线网段

    子网网段

    vpc-01

    华南1(广州)

    10.1.0.0/16

    sunnet-01:10.1.0.0/24

    vpc-02

    10.2.0.0/16

    subnet-02:10.2.0.0/24

    vpc-03

    10.3.0.0/16

    subnet-03:10.3.0.0/24

    VPN-04(如有VPN实例需要配置步骤三)

    10.4.0.0/16

    N/A

    tr中转路由器

    华南1

    N/A

    N/A

前提条件
  • 已完成所需VPC及子网的创建,详细步骤请参见创建私有网络
  • 已完成各VPC中云服务器实例的创建,详细步骤请参见购买云服务器实例
  • 已完成中转路由器实例创建和网络实例连接创建,详细步骤请参见创建中转路由器实例
  • 已购买云防火墙企业版以上售卖规格。

使用限制
  • 当中转路由器的路由表中存在100.64.0.0/10内的静态路由时,不支持引流配置。
  • 不支持路由冲突的VPC网络实例引流配置,包括VPC网络实例之间路由冲突、VPC网络实例与防火墙VPC路由冲突,否则配置自动引流场景后网络会中断,建议请根据业务合理规划防火墙VPC网段和VPC网络实例网段。
  • VPC网络实例的子网网段的掩码需小于等于31位。

步骤一:创建VPC边界防火墙
  1. 登录云防火墙控制台。在左侧导航栏,单击防火墙开关
  2. 防火墙开关页面,点击VPC边界防火墙
  3. 定位到目标VPC边界防火墙的云企业网实例下的转发路由器,单击操作列的创建云防火墙
  4. 选择自动引流模式,并单击提交并下一步,自动引流模式VPC边界防火墙会根据引流场景自动在中转路由器上配置路由。
  5. 创建VPC边界防火墙,配置参数如下所示。云防火墙在新建过程中,预计需要等待10分钟。

配置项

配置说明

配置参数

防火墙名称

定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您根据业务的实际情况输入具有意义的名称。

专线与VPC边界防护

防火墙VPC网段

为自动创建的云防火墙的VPC分配网段,并且从分配的VPC网段中划分3个子网网段。云防火墙的3个子网网段的掩码需小于等于28位,且不与网络规划的网段冲突。

192.168.0.0/24

VPC子网1网段

192.168.0.16/28

VPC子网2网段

192.168.0.32/28

VPC子网3网段

192.168.0.48/28

步骤二:创建引流场景
  1. VPC防火墙创建完成后,单击提交下一步
    • 按照下表介绍配置引流场景。
    • 您也可以暂时不配置引流场景,根据业务需要稍后配置,在VPC边界防火墙页签,定位到目标中转路由器实例,单击操作列下的详情,单击新建引流场景进行配置。

配置项

配置说明

配置参数

引流场景名称

定义引流场景的名称。该名称用于标记引流场景类型,建议您根据业务的实际情况输入具有意义的名称。

专线与VPC引流

引流场景选择

根据网络实例(VPC、专线、VPN)防护需求,选择引流场景类型。示例类型若仅需要防护专线到云上3个VPC之间流量,则可以选择点到多点。若既需要防护专线到云上3个VPC之间流量,也需要防护3个VPC之间的流量,则可以选择多点互联。

  • 点到点:两个网络实例之间流量经过云防火墙管控。适用于简单的网络拓扑环境。
  • 点到多点:一个网络实例与多个网络实例之间的流量经过云防火墙管控。适用于星形网络拓扑环境;
  • 多点互联:多个网络实例之间的流量经过云防火墙管控。适用于Full Mesh网状网络拓扑环境。

多点互联

实例选择

配置需要引流的网络实例(多点互联)

VPC-01
VPC-02
VPC-03

  1. 引流场景创建后,云防火墙会自动在TR中转路由器上为您创建引流路由表信息,即可实现对中转路由器连接的网络实例之间的流量防护。
    • TR网络实例连接中会增加云防火墙的VPC,连接名称为CFW_ststem_请勿编辑
    • 云防火墙会创建4个名称为CFW_ststem_请勿编辑的路由表,关联转发分别关联VPC-01、VPC-02、VPC-03和云防火墙。以VPC-01流量走向VPC-02为例说明路由原理。

路由表

关联转发

路由条目说明

路由表1

VPC-01

以关联转发VPC-1的路由表1为例说明:

  1. 系统会自动学习指向VPC-02、VPC-03的路由。
  2. 云防火墙会根据自动学习路由,将每一个指向VPC-02、VPC-03的自学习路由,拆分成2个执行优先级更高的指向云防火墙的静态路由。如目的网段为10.2.0.0/24,下一跳为VPC-02的自学习路由会拆分成以下两条静态路由:
    • 10.2.0.0/25 下一跳为 CFW_system_请勿编辑
    • 10.2.0.128/25下一跳为CFW_system_请勿编辑
  3. 如此VPC-01指向VPC-02、VPC-03的流量都会指向云防火墙,以便于云防火墙进行防护。

图片

防火墙路由表

CFW_system_请勿编辑(云防火墙VPC)

关联转发云防火墙VPC的路由表说明:

  1. 会自动学习指向VPC01、VPC-02、VPC-03的路由。
  2. VPC-01指向云防火墙的流量,在经过云防火墙防护清洗后,再根据目的网段10.2.0.0/24 下一跳为VPC-02,将流量转发给VPC2。

图片

警告

  • 请勿修改系统路由表:在创建引流场景后,云防火墙会自动为您在系统路由表中创建兜底路由。当VPC云防火墙上引流场景关闭、删除,VPC云防火墙升级、故障、删除,以及VPC防火墙实例到期退订时云防火墙会开启Bypass机制,会将VPC-01、VPC-02、VPC-03关联转发网络实例从防火墙路由中切换到系统路由表中,通过兜底路由保证业务稳定性。请勿编辑系统路由表,避免造成业务闪断风险。
  • 请勿编辑云防火墙创建的路由表:为不影响您的业务,请勿编辑云防火墙创建的名为CFW_system_请勿编辑的路由表,避免造成路由转发失败的风险。
  • VPN网络实例路由配置:如果TR中原本连接了VPN实例,在新建引流场景或者将已关闭的引流场景重新开启时,需要您手动配置VPN静态路由策略,以保证VPN网络的联通性,策略配置请见步骤三:手动配置VPN网络实例路由(如TR网络实例没有连接VPN可跳过此步骤)

步骤三:手动配置VPN网络实例路由(如TR网络实例没有连接VPN可跳过此步骤)

若您TR中转路由器中还连接VPN网络实例,在完成步骤一和步骤二后,此时VPN-04实例与VPC-01、VPC-02、VPC-03网络实例网络是不通的,需要手动配置VPC路由。需要分别在关联转发VPC-01、VPC-02、VPC-03三个路由表中添加指向VPN的网络实例,以VPC-01路由为例说明。

路由表

关联转发

路由条目说明

路由表1

VPC-01

  1. 添加目的网段为10.4.0.0/16,下一跳为VPN-04的静态路由。

步骤四:访问控制策略配置

在对VPC之间的流量进行管控时,您需要先拒绝可疑流量或恶意流量,或者先放行可信流量,再拒绝其他地址的访问。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制>VPC边界
  3. VPC边界页面,选择所属VPC防火墙,单击添加策略
  4. 云防火墙在没有策略的情况下默认是放通。所以需要配置3条访问控制策略,一条放行VPC-01网段的流量可以访问VPC-02高优先级放行策略,一条阻断所有流量访问的低优先级阻断策略。
  5. 添加VPC-01网段可以访问VPC-02网段的策略。

配置项

配置说明

配置参数

规则优先级

选择该策略的优先级,这里选择最高优先级,配置完成后,也可以在访问控制策略列表中,单击移动对策略优先级自定义调整。

  • 最高优先级:指访问控制策略生效的优先级最高,最先生效。
  • 最低优先级:指访问控制策略生效的优先级最低,最后生效。

最高优先级

访问源类型

您需要选择访问源类型,并根据访问源类型输入访问源地址。这里选择IP类型,并输入10.1.0.0/24

  • 选择IP类型时,需要输入IP地址或IP地址段。如180.184.1.1180.184.0.0/160.0.0.0/0表示为全部。
  • 选择地址簿类型时,您需要提前创建IP地址簿。

IP

访问源

10.1.0.0/24

访问目的类型

您需要选择访问目的类型,并根据访问目的类型输入访问目的地址。这里选择IP类型,并输入10.2.0.0/24。

  • 选择IP类型时,需要输入IP地址或IP地址段。如180.184.1.1180.184.0.0/160.0.0.0/0表示为全部。
  • 选择地址簿类型时,您需要提前创建IP地址簿。
  • 选择域名类型,需要输入目的域名地址
    • 输入域名支持输入单域名example.com、泛域名*.example.com、多级域名example1.example2.com

    说明

    • 请勿输入http(s)等协议内容。
    • 域名访问空策略原理是根据HTTP协议数据中Host信息,以及HTTPS协议数据包Client Hello中的Server Name信息中获取域名数据进行匹配控制。若您的业务流量数据包中不含这两个字段,则域名策略无法生效。

IP

访问目的

10.2.0.0/24

协议类型

传输层协议类型,支持设置为:TCPUDPICMPANY。不确定具体协议时可选择ANY。

ANY

动作

设置匹配成功的流量在该条策略的放行情况。

  • 放行:放行该流量,在访问控制日志中记录放行日志,流量会话中记录流量日志。
  • 阻断:拦截该流量,会在访问控制日志中记录阻断日志。
  • 观察:放行该流量。会在访问控制日志中记录观察日志。

放行

描述

输入当前策略内容和使用场景。便于您识别并应用地址簿

VPC1访问VPC2

策略开关

设置策略开关。如果您创建策略时未启用策略,可以在策略列表中开启策略。

开启

  1. 添加VPC-02网段可以访问VPC-03网段的策略,访问控制策略配置参数如下

    配置项

    配置参数

    规则优先级

    最高优先级

    访问源类型

    IP

    访问源

    10.2.0.0/24

    访问目的类型

    IP

    访问目的

    10.3.0.0/24

    协议类型

    ANY

    目的端口类型

    端口

    目的端口

    0/65535

    动作

    放行

    描述

    VPC1访问VPC3

    策略开关

    开启

  2. 添加阻断策略:配置一条低优先级所有专线-04流量访问该主机的阻断策略。阻断访问控制策略配置参数如下:

    配置项

    配置参数

    规则优先级

    最低优先级

    访问源类型

    IP

    访问源

    0.0.0.0/0

    访问目的类型

    IP

    访问目的

    0.0.0.0/0

    协议类型

    ANY

    目的端口类型

    端口

    目的端口

    0/65535

    动作

    阻断

    描述

    阻断其他访问策略

    策略开关

    开启