最近更新时间:2023.12.06 18:04:17
首次发布时间:2023.11.24 20:34:34
本文介绍通过云防火墙自动引流配置,帮助您完成VPC与VPC之间的流量访问控制。
注意
本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
完成VPC1、VPC2、VPC3之间流量引流至云防火墙。
配置访问控制策略:VPC1网段可以访问VPC2。
配置访问控制策略:VPC2 网段可以访问VPC3。
配置访问控制策略其余访问全部阻断。
资源类型 | 所属地域 | VPC/专线网段 | 子网网段 |
---|---|---|---|
vpc-01 | 华南1(广州) | 10.1.0.0/16 | sunnet-01:10.1.0.0/24 |
vpc-02 | 10.2.0.0/16 | subnet-02:10.2.0.0/24 | |
vpc-03 | 10.3.0.0/16 | subnet-03:10.3.0.0/24 | |
VPN-04(如有VPN实例需要配置步骤三) | 10.4.0.0/16 | N/A | |
tr中转路由器 | 华南1 | N/A | N/A |
配置项 | 配置说明 | 配置参数 |
---|---|---|
防火墙名称 | 定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您根据业务的实际情况输入具有意义的名称。 | 专线与VPC边界防护 |
防火墙VPC网段 | 为自动创建的云防火墙的VPC分配网段,并且从分配的VPC网段中划分3个子网网段。云防火墙VPC的交换机3个子网网段的掩码需小于等于29位,且不与网络规划的网段冲突。 | 192.168.0.0/24 |
VPC子网1网段 | 182.168.0.8/29 | |
VPC子网2网段 | 182.168.0.16/29 | |
VPC子网3网段 | 182.168.0.24/29 |
配置项 | 配置说明 | 配置参数 |
---|---|---|
引流场景名称 | 定义引流场景的名称。该名称用于标记引流场景类型,建议您根据业务的实际情况输入具有意义的名称。 | 专线与VPC引流 |
引流场景选择 | 根据网络实例(VPC、专线、VPN)防护需求,选择引流场景类型。示例类型若仅需要防护专线到云上3个VPC之间流量,则可以选择点到多点。若既需要防护专线到云上3个VPC之间流量,也需要防护3个VPC之间的流量,则可以选择多点互联。
| 多点互联 |
实例选择 | 配置需要引流的网络实例(多点互联) | VPC-01 |
路由表 | 关联转发 | 路由条目说明 |
---|---|---|
路由表1 | VPC-01 | 以关联转发VPC-1的路由表1为例说明:
|
防火墙路由表 | CFW_system_请勿编辑(云防火墙VPC) | 关联转发云防火墙VPC的路由表说明:
|
警告
若您TR中转路由器中还连接VPN网络实例,在完成步骤一和步骤二后,此时VPN-04实例与VPC-01、VPC-02、VPC-03网络实例网络是不通的,需要手动配置VPC路由。需要分别在关联转发VPC-01、VPC-02、VPC-03三个路由表中添加指向VPN的网络实例,以VPC-01路由为例说明。
路由表 | 关联转发 | 路由条目说明 |
---|---|---|
路由表1 | VPC-01 |
|
在对VPC之间的流量进行管控时,您需要先拒绝可疑流量或恶意流量,或者先放行可信流量,再拒绝其他地址的访问。
配置项 | 配置说明 | 配置参数 |
---|---|---|
规则优先级 | 选择该策略的优先级,这里选择最高优先级,配置完成后,也可以在访问控制策略列表中,单击移动对策略优先级自定义调整。
| 最高优先级 |
访问源类型 | 您需要选择访问源类型,并根据访问源类型输入访问源地址。这里选择IP类型,并输入
| IP |
访问源 | 10.1.0.0/24 | |
访问目的类型 | 您需要选择访问目的类型,并根据访问目的类型输入访问目的地址。这里选择IP类型,并输入
| IP |
访问目的 | 10.2.0.0/24 | |
协议类型 | 传输层协议类型,支持设置为:TCP、UDP、ICMP、ANY。不确定具体协议时可选择ANY。 | ANY |
动作 | 设置匹配成功的流量在该条策略的放行情况。
| 放行 |
描述 | 输入当前策略内容和使用场景。便于您识别并应用地址簿 | VPC1访问VPC2 |
策略开关 | 设置策略开关。如果您创建策略时未启用策略,可以在策略列表中开启策略。 | 开启 |
添加VPC-02网段可以访问VPC-03网段的策略,访问控制策略配置参数如下
配置项 | 配置参数 |
---|---|
规则优先级 | 最高优先级 |
访问源类型 | IP |
访问源 | 10.2.0.0/24 |
访问目的类型 | IP |
访问目的 | 10.3.0.0/24 |
协议类型 | ANY |
目的端口类型 | 端口 |
目的端口 | 0/65535 |
动作 | 阻断 |
描述 | VPC1访问VPC3 |
策略开关 | 开启 |
添加阻断策略:配置一条低优先级所有专线-04流量访问该主机的阻断策略。阻断访问控制策略配置参数如下:
配置项 | 配置参数 |
---|---|
规则优先级 | 最低优先级 |
访问源类型 | IP |
访问源 | 0.0.0.0/0 |
访问目的类型 | IP |
访问目的 | 0.0.0.0/0 |
协议类型 | ANY |
目的端口类型 | 端口 |
目的端口 | 0/65535 |
动作 | 阻断 |
描述 | 阻断其他访问策略 |
策略开关 | 开启 |